Please try connecting again. vpn - Cisco SSL anyconnectクライアント:ブラウザ接続をトンネルできません ubuntu12.10 - Wifiは低信号で切断し続け、極端に遅くなります:Ubuntu 1304 wireless - Lenovo G480でWifiが切断し続ける ホーム> 2019-09-19 12:47. windows 7 - Cisco Anyconnect:リモートデスクトップからのVPN設定機能が無効になっています ... \Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpncli.exe" -s

A VPN connection will not be established.

や AnyConnect was not able to establish a connection to the specified secure gateway.

次の例は AnyConnect SSL クライアントを支持するために暗号化エンジン アクセラレータ バイアス ssl コマンドで ASA5555 のコア アロケーションを示したものです: アクティブセッション ディストリビューションはプラットフォームの現在の暗号 利用に関係なく 100% 常にです。, 注: 暗号化コア再分散ができるのは、次のプラットフォームです。 ASA 5585、5580、5545/5555、4110、4120、4140、4150、SM-24、SM-36、SM-44、および ASASM, Q: AnyConnect ソフトウェアをダウンロードできませんが、どうしてでしょうか?, A: AnyConnect クライアントをダウンロードできるようにするには、AnyConnect Plus または Apex ライセンスを購入する必要があります。 購入後に権限が付与されるはずです。 AnyConnect Apex や Plus ライセンスを購入しても権限が付与されない場合は、権限付与についてのケースをオープンして、問題を解決してください。, Q: スマート ライセンス アカウントで AnyConnect ライセンスを 99999 購入済みと表示されるのはどうしてですか?, A: これは、AnyConnect Plus 永久ライセンス、非バンド AnyConnect Plus、Apex ライセンスなどの特定の AnyConnect ライセンスで想定されます。, A: この値は、AnyConnect ライセンスを使用しているデバイスが登録されるたびに減分されます。 たとえば、FMC を登録してから、AnyConnect Plus ライセンスをデバイスに追加すると、AnyConnect Plus ライセンスの使用中の値が減分されます。 この値は、現在のユーザセッションに基づいては減分されません。 ASAv デバイスを登録しても、「使用中」の数は減分されません。 これは既知の表面的な問題です。 購入した承認ユーザ数より多くのデバイスは登録できません。, A: 購入金額は、ライセンスで購入された承認ユーザ数によって決まります。 たとえば、ユーザ数が 25 の AnyConnect Plus ライセンスには 25 件の購入分が含まれます。, A: 強力な暗号化を実装するには、登録トークンを作成する際に [このトークンで登録される製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] チェックボックスをオンにします。, Q: 「X」個のユーザライセンスを所有している場合、「X + 1」人以上のユーザがデバイスに接続するとどうなりますか?, A: Apex および Plus ライセンスでは、デバイスの VPN 最大ユーザ数のロックが解除されています。 最大 VPN ユーザ数に達していない限り、デバイスは引き続き接続を許可します。 VPN ユーザセッションについてデバイスで強制されるものはなく、信用ベースとなっています。 VPN のセッション使用数を増やす必要がある場合は、各自の責任で承認ユーザのライセンスを追加購入します。 デバイスでサポートされている最大ユーザ数を確認するには、シスコの Web サイトでデバイスのデータシートを確認するか、show vpn-sessiondb コマンドを実行して、「Device Total VPN Capacity」を確認します。 ASA の場合は、show version または show vpn-sessiondb license-summary コマンドを実行することもできます。, Q: ライセンスがデバイスで有効になっているかどうかを確認するにはどうすればよいですか?, A: FTD では、ライセンスがアクティブ化されていない限り AnyConnect の設定を展開できません。 ASA では、show version または show vpn-sessiondb license summary コマンドを実行すると、承認ユーザ数を確認できます。 アクティブ化されたライセンスがない場合、最大ユーザ数は 2 名です。 なお ASA では、前述のコマンドに Plus/Apex のライセンス情報は表示されません。 これは、機能強化要求 CSCuw74731 で追跡されています。, Q: VPN ロードバランシングに使用できる ASA プラットフォームを教えてください。 VPN ロードバランシングクラスタで異なる ASA ハードウェア プラットフォームやソフトウェアバージョンを使用できますか。, A: はい。VPN ロードバランシングクラスタは、ASAv を含むさまざまな物理または仮想 ASA モデルで構成される場合があります。 ただし、通常はクラスタの種類を同じにすることをお勧めします。 VPN ロードバランシングクラスタで異なるソフトウェアバージョンが使用されている場合は、IPsec セッションのみがサポートされます。 詳細については、 VPN ロードバランシングに関するガイドラインと制限事項を参照してください。, Q: スプリットトンネリングの設定方法を教えてください。 また、スプリットトンネルの設定で特定の種類のアプリケーション トラフィック(Office 365 など)がトンネリングされないようにすることはできますか。, A: さまざまな使用例の設定例については、シスコ コミュニティの記事「AnyConnect スプリットトンネリング(AnyConnect Split Tunneling)」を参照してください。 また、スプリットトンネリングとダイナミック スプリットトンネリングを組み合わせてアプリケーションベースのスプリットトンネリングを行うこともできます。 Office 365 と Webex に合わせて AnyConnect スプリットトンネリングを最適化する方法の例については、「Microsoft Office365 と Cisco Webex の接続に合わせて AnyConnect を最適化する方法(How to optimize Anyconnect for Microsoft Office365 and Cisco Webex connections)」を参照してください。, Q: AnyConnect を使用して ASA ヘッドエンドに接続すると、「信頼できない証明書の警告」というエラーが表示されます。 原因, A: このエラーは、ヘッドエンドが自己署名証明書を使用していることが原因である可能性があります。 このエラーを修正するには、認証局から SSL 証明書を購入してヘッドエンド ASA にインストールします。 詳細な実装手順については、「 ASA の設定: SSL デジタル証明書のインストールと更新」を参照してください。, Q: Cisco RAVPN ヘッドエンドでワイルドカード証明書はサポートされていますか。, A: はい。ワイルドカードと DNS サブジェクト代替名(SAN)を持つ証明書がサポートされています。, Q: 単一のデバイスで、ロード バランシングとフェールオーバーの両方を使用できますか。, A: アクティブ/スタンバイフェールオーバーは、VPN ロード バランシングでサポートされています。 アクティブユニットで障害が発生した場合、スタンバイデバイスが VPN トンネルに影響を与えることなくすぐに引き継ぎを行います。 VPN ロードバランシングは、アクティブ/アクティブフェールオーバー構成ではサポートされていません。, Q: ASA の CPU 使用率の監視に使用できる SNMP MIB はどれですか。, A: ASA の CPU 使用率の監視には、CISCO-PROCESS-MIB を使用できます。 サポートされている MIB の完全なリストについては、 「適用型セキュリティアプライアンス MIB サポートリスト(Adaptive Security Appliance MIB Support List)」を参照してください。 また、特定の ASA に対してサポートされている SNMP MIB および OID のリストを取得するには、次のコマンドを発行します。 show snmp-server oidlist, Q: 現在 VPN ヘッドエンドに接続しているユーザの数を監視する方法を教えてください。, A: CLI から show vpn-sessiondb を使用して、ASA か FTD、または SNMP MIB の現在のユーザ数を確認します。, Q: 一部の AnyConnect VPN ユーザの接続が頻繁に切れているようです。 このような問題をトラブルシューティングする方法を教えてください。, A: VPN の切断やその他の一般的な AnyConnect の問題をトラブルシューティングする方法については、 「AnyConnect VPN クライアントのトラブルシューティング ガイド - 一般的な問題」を参照してください。, Q: 一定数のユーザが VPN ヘッドエンドに接続すると、それ以上ユーザが接続できなくなります。 ライセンスはデバイスでアクティブ化されており、show vpn-sessiondb にはデバイスでさらに多くのユーザを処理できると示されます。 何が問題なのでしょうか。, A: それらのユーザの VPN ローカルアドレスプールで接続中のユーザの数が使用可能なアドレスの数を超えていないことを確認します。 これは show ip local pool [pool-name] コマンドで確認できます。 別の原因としては、古いプラットフォームで vpn-sessiondb max-anyconnect-premium-or-essentials-limit コマンドの値が低く設定されていることが考えられます。 これについては、show run all vpn-sessiondb コマンドで確認できます。 これが問題の場合は、値を増やすか、こうした制限を回避するためにコマンドを削除します。, 追加支援に関しては、TAC に連絡して下さい。 有効なサポート 契約が必要となります: 各国のシスコ サポートの連絡先, AnyConnect の導入や COVID-19 関連の一般的な問題への対応に役立つその他のリソースへの追加リンクについては、以下をご覧ください。. AnyConnect Client Profile を作成することでこれを行っています VPN establishment capability from a remote desktop is disabled. 申し訳ございませんが、リモートデスクトップで接続した端末上で"Cisco AnyConnect"の 接続を行なうことはできません。 なお、リモートデスクトップ接続状態でクライアントソフトウェアを起動し、「Connect」ボタンを押すと、以下のような「VPN Session ended.」というメッセージが表示されます。

に設定されます  そして、あなたはそれを

A VPN connection will not be established. データセンターのVMからCisco AnnyConnectを実行する必要があります。実行すると、次のメッセージが表示されます。, これをオフにできますか?私はそれについていくつかの投稿を見ましたが、アカウントを持ったCiscoソフトウェアをダウンロードする必要がありましたが、それは持っていません。 VPNソフトウェアは、私が働いているクライアントのものです。, それは実際に使用しているバージョンに依存しますが、最近では  ASA自体で。, デフォルトでは、ポリシーは All rights reserved. シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。, 世界中の国々が COVID-19 のパンデミックと闘う中、感染の拡散防止策としてリモートワークを導入する企業が増えています。 その結果、従業員が社内のリソースにアクセスできるようにするためのリモートアクセス VPN(RAVPN)の需要が高まっています。 本記事では、ネットワーク内に RAVPN を迅速に設定したり、パフォーマンスや拡張性に関する問題を特定して対処したりするためのコンフィギュレーション ガイドのリファレンス情報を提供します。, 次のセクションでは、シスコの各種プラットフォームで AnyConnect リモートアクセスを設定および展開する方法について詳しく説明します。また、証明書インストールガイドも紹介します。証明書の導入は RAVPN の証明書認証の要件であるため、シスコのリモート アクセス ソリューションに不可欠な要素です。, デバイスで RAVPN 接続を終了するには、ライセンスが必要です。 ASA プラットフォームでは、ライセンスがない場合は 2 つの VPN ピアのみサポートされます。 FTD プラットフォームでは、ライセンスがなければ、AnyConnect の設定をデバイスに展開できません。 COVID-19 の感染拡大を受けて、シスコは無料の一時ライセンスを提供し、シスコデバイスへの RAVPN 実装を支援しています。 この件に関する詳細については、以下を参照してください COVID-19 対策向け AnyConnect 緊急ライセンスの取得, 最も一般的な設定で AnyConnect Remote Access を実装するには、次のクイックスタートガイドに従ってください。, RAVPN の使用量が大幅に増加すると、AnyConnect ユーザがパフォーマンスの問題に直面する可能性があります。 こうした問題を特定して、対処するための緩和策を決定する方法については、以下を参照してください。, CPU 使用率は、VPN ユーザのパフォーマンスに直接影響します。 デバイスによって処理される暗号化または復号トラフィックが多くなると、CPU 使用率が高くなります。 プラットフォームで処理可能な最大 VPN スループットに近づくと、デバイスの CPU 使用率が高くなる可能性があります。 CPU 使用率が高くなるのは、デバイスがオーバーサブスクライブされているためか、あるいは別の問題が原因であるのかを判断する必要があります。, デバイスの CPU 使用率が高くなっているかを確認するには、次のコマンドを実行することをお勧めします。, 上記の例では、DATAPATH-0 と DATAPATH-1 で合計 CPU 使用率の 87.7% を占めていることがわかります。 この場合、ASA がオーバーサブスクライブされており、この現象の原因が大量のトラフィックの暗号化と復号化によるものかを判断する必要があります。 その際、プラットフォームのデータシートに記載されている VPN スループット値と比較できます。, デバイスを通過する 1 秒あたりの VPN の合計トラフィック量を計算するには、show crypto accelerator statisticsコマンドの Global Statistics セクションで Input bytes と Output bytes を追加します。 ASA または FTD で、clear crypto accelerator statistics コマンドを使用して、show crypto accelerator statistics の出力をクリアします。 一定時間待ってから、以下に示すように show crypto accelerator statistics コマンドを実行します。, 特定の間隔でスナップショットをいくつか取り、ビット/秒(bps)に変換可能なバイト単位の平均スループットを取得します。 計算式は以下のとおりです。, 前述した例では、clear crypto accelerator statistics コマンドが 0 秒時点で発行されています。 10 秒後に show crypto accelerator statistics コマンドが発行され、10 秒間隔で合計バイト数が取得されました。 これらの値を使用して、10 秒間隔で処理された 217Mbps の bps を計算します。 より正確な平均値を得るには、複数のスナップショットが必要になることがあります。, これらの値は、暗号化や復号化されたすべてのトラフィック (HTTPS、SSL、IPsec、SSH など)で増加することに注意してください。 この値を使用して、平均 VPN スループットを特定し、データシートと比較できます。 平均スループットが、プラットフォームのデータシートに表示される値とほぼ同じである場合、デバイスは暗号化および復号化されたトラフィックによってオーバーサブスクライブされています。, さらに、VPN トラフィックのカウンタが増加しないため、この方法で Firepower 2100 プラットフォームの VPN スループットを判断することはできません。 これは CSCvt46830 でトラッキングされています 。, VPN 接続が最大数に達した場合、接続が中断されてユーザが接続できなくなる可能性があります。 AnyConnect Plus または Apex ライセンスをアクティブにすると、VPN ピアに設定されている最大数のロックは解除されますが、最大数に達している間、他のユーザはデバイスへの接続が許可されません。, デバイスにおける最大 VPN 接続可能数を確認するには、show vpn-sessiondb の出力結果を確認します。, プラットフォームでサポートされているユーザ数の合計を確認するには、以下にあるデバイスのデータシートを確認してください。, デバイスが VPN ユーザの最大数に達していないにもかかわらず VPN ユーザが接続できない場合は、TAC からサポートを受けてください。, 次のデータシートでは、プラットフォームでサポートされる VPN ユーザの最大数とテストに基づく最大 VPN スループットが共に強調表示されています。 IKEv2 および DTLS AnyConnect では、各セクションに記載されている IPsec VPN スループットと同様の合計(集約)スループットが予想されます。, デフォルトでは、ASA および FTD のグループポリシーでは tunnelall が実装されます。 これにより、RA クライアントで生成されたすべてのトラフィックが VPN 経由で送信されて、ヘッドエンドによって処理されます。 パケットの暗号化と復号化は CPU 使用率に直接関係するため、企業のセキュリティポリシーにしたがって必要なトラフィックのみが、VPN ヘッドエンドによって処理されるようにすることが重要です。 フルトンネルではなくスプリットトンネルポリシーを採用して、不要な負荷から VPN ヘッドエンドを保護することを検討してください。, 注: Tunnel All により、企業全体のパラメータ セキュリティ ポリシーが実装されます。スプリットトンネリングはクライアントデバイスに依存して、ユーザのインターネットトラフィックの保護をサポートします。 シスコでは、スプリットトンネルポリシー向けに、Umbrella といった VPN ユーザを保護するための付加的セキュリティツールを提供しています。, VPN ロードバランシングは、ASA プラットフォームに搭載されている機能です。2 つ以上の ASA が VPN セッションの負荷を共有できるようにします。 両方のデバイスが 500 VPN ピアをサポートしている場合、それらの間に VPN ロードバランシングを設定することで、合計 1000 個の VPN ピアがデバイス間でサポートされます。 この機能を使用すると、単一のデバイスが処理可能な数を超えて、同時 VPN ユーザ数を増やすことができます。 ロード バランシング アルゴリズムを含む VPN ロード バランシングについての詳細はここに見つけることができます: VPN ロードバランシング, プラットフォームで有効になっている付加的サービスによって、デバイスの処理と負荷が増加します。 たとえば、IPS、SSL 暗号解読、NAT などが挙げられます。 VPN セッションの終了のみを実行する VPN コンセントレータとしてデバイスを設定することを検討してください。, デフォルトでは、DTLS トンネルを確立するように ASA のグループポリシーが設定されています。 VPN ヘッドエンドと AnyConnect クライアントの間で UDP 443 トラフィックがブロックされている場合、TLS に自動的にフォールバックします。 VPN スループットパフォーマンスを最大化するには、DTLS または IKEv2 を使用することをお勧めします。 DTLS は、プロトコルオーバーヘッドが小さいため、TLS よりもパフォーマンスが向上します。 IKEv2 を使用した場合でも TLS より高いスループットが実現します。 さらに、AES-GCM を使用して暗号はわずかにパフォーマンスを改善するかもしれません。 これらの暗号は TLS 1.2 で利用できます、DTLS 1.2 および IKEv2。, QoS を実装すると、アウトバウンド方向の AnyConnect ユーザに送信されるトラフィック量を制限できます。 これにより、VPN ヘッドエンドは、各リモートアクセスクライアントで出力帯域幅が均等に共有されるようにできます。 これについての詳細はここに見つけることができます: FTD の設定, 暗号エンジン アクセラレータ バイアスを使用すると、暗号コアを再割り当てして、一方の暗号化プロトコルをもう一方(SSL や IPsec)より優先的に使用できるようになります。 これの目的は VPN トンネルの大半が IPsec か SSL を使用する場合 AnyConnect スループットの最適化です。 このコマンドを実行することは稼働中生じ、割り込み従って Maintenance ウィンドウが必要となります。 さらに、パフォーマンス(AnyConnect スループットおよび CPU稼働率)機能強化はトラフィックプロファイルによって変わるかもしれません。 VPN ヘッドエンドで SSL セッションのみ、または IPsec セッションのみが終了する場合は、このコマンドを使用すると VPN ヘッドエンドをさらに最適化できる可能性があります。 コマンドリファレンスは、以下で確認できます。 コマンド リファレンス, 現在の暗号 コア アロケーションを検討するために、コマンドを示します暗号アクセラレータ ロードバランスを実行して下さい。 このコマンドは暗号 利用の総量がデバイス処理が可能であることを示しません-各コアへの ssl または ipsec トラフィックの比率が割り当てられていることを示します。 デバイスの利用のおおよその量が上でセクションを高い CPU稼働率で参照し、プラットフォームのためのデータシートの値と計算された 値を比較すると見つけるため。, 大抵リモート アクセス SSLVPN を終える ASA プラットフォームでコマンド 暗号化エンジン アクセラレータ バイアス ssl と SSL を支持するために暗号 コア アロケーションが調整されることが、推奨されます。.