ПРАКТИЦИЗМЫ: Старые модели ASA 5500 и новый клиент AnyConnect – NO CONNECT!   (Дата: 24.03.2021)

Обновили клиента до последней версии и потеряли подключение к ASA?

Видите ошибку подключения «Connection attempt has failed due to server communication errors. Please retry the connection.»?

Cisco ASA 5500 AnyConnect error

Это Ваш случай? Тогда Вам точно сюда!

По статистике сайта LearnCisco.Ru в рейтинге популярности по-прежнему лидируют материалы по настройке Cisco ASA и Cisco AnyConnect Secure Mobility Client.

И оно понятно, ведь ковид еще до конца не побежден и удаленка в тренде и фаворе. Да и многим просто понравилось работать из дома. А что, это и в самом деле удобно, полностью согласен.

Знаю, что у многих все еще в боевой работе есть старые модели Cisco ASA 5500, такие как 5505, 5510, 5520 и другие, без «–X» на конце. Скажу даже больше, есть клиенты, у которых до сих пор стоят и вполне успешно работают PIX-ы.

Есть и те, кто специально достали старые ASA 5500 из закромов и снова запустили их в работу аккурат для организации удаленного доступа. Тем более что для них где-то на просторах Интернете давно уже гуляет генератор ключей активации любого функционала. Особенно того, что связан с удаленным SSL/AnyConnect доступом.

Проблема лишь в том, что последний релиз кода для этих моделей ASA 9.1(7)32 и обновиться выше не удастся.

И все бы ничего, но начиная с какой-то версии клиента AnyConnect 4.9.x, перестал автоматически устанавливаться клиентский сертификат. Он, конечно, генерируется на локальном CA сервере ASA при попытке подключения, но дальше все придется делать вручную. Копировать его из флэш-памяти ASA и передавать клиенту для самостоятельной установки на компьютер.

Но это если Вы используете авторизацию по сертификатам с локальным CA сервером на ASA.

И самое неприятное, что если версия AnyConnect клиента будет 4.9.06037 и выше, то подключиться к ASA с кодом 9.1(7)32 уже не удастся вообще.

Так что лучше не обновлять AnyConnect до последней доступной версии, если Вы работаете с ASA 5500.

Для Android на Google Play Market есть только последняя версия AnyConnect. Предыдущие же можно найти тут: AnyConnect для Android

И еще, не забывайте, что если загрузить на ASA новый пакет pkg с AnyConnect и указать его в настройках секции webvpn, то при подключении он автоматически будет обновлён на стороне клиента.

После этого подключение будет потеряно.

Клиенту придётся удалять обновленный AnyConnect и заново устанавливать его предыдущую версию.

В общем, как говориться предупрежден – значит вооружен!

 

В начало ›

 

Автор: Алексей Николаев, CCIE #27142 (Security)

Метки: ASA, AnyConnect