Untrusted server blocked cisco anyconnect что делать
Исправление AnyConnect не смог установить соединение с указанным безопасным шлюзом
Обновление: Перестаньте получать сообщения об ошибках и замедляйте работу своей системы с помощью нашего инструмента оптимизации. Получите это сейчас на эту ссылку
Сообщение об ошибке «AnyConnect не смог установить соединение с указанным безопасным шлюзом» появляется, когда пользователи пытаются подключиться к VPN с помощью клиента AnyConnect. Эта проблема возникает из-за того, что клиент AnyConnect VPN CISCO не может подключиться к удаленному серверу и блокировки происходят. Сегодня мы обсудим приведенное выше сообщение об ошибке, в том числе причины появления сообщения об ошибке и различные решения, которые вы можете применить для его устранения.
Как исправить AnyConnect не смог подключиться к указанной ошибке Secure Gateway:
Проверьте, работает ли ICS (Internet Connection Sharing).
Также убедитесь, что служба ICS не работает.
Ноябрьское обновление 2021:
Обновить настройки реестра
Другой, как вы говорите, меняет реестр, но это очень медленный процесс. Под Windows 8 Pro откройте regedit с командой execute и:
1) Перейдите в [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ vpnva].
2) Измените значение в поле DisplayName на «Cisco AnyConnect VPN Virtual Miniport Adapter для Windows x64».
3) Попробуйте установить соединение.
Проверьте проблему в среде чистой загрузки.
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
supuser
Be Curious | Be Smart
If you are a cisco anyconnect vpn user you must faced «Untrusted Server Blocked» issue in your windows or linux server. I faced this issue recently in Ubuntu 16.04 server when connecting cisco anyconnect utilizing digital certificate. I did some steps in my way that really helped me to fix this issue. I expect these steps may fix this issue in the windows server also. So friends, in this post i am going to explain you how i fixed «Untrusted Server Blocked» issue for cisco anyconnect. So stay tuned with the post to fix this issue.
What is Untrusted Server Blocked
Untrusted Server Blocked occurs only when a cisco anyconnect vpn user try to establish connection between local server to the remote server with utilizing digital certificate if the digital certificate is found missing from the browser. Cisco anyconnect restrict the user to connect local server to the remote server and display this error message in a popup window.
How to Fix Untrusted Server Blocked Issue
I faced this issue when i was trying to connect with cisco anyconnect utilizing my vpn digital certificate in ubuntu 16.04 server. Once i got this error message, at first i checked whether the digital certificate is available or removed from the browser. I found my digital certificate was removed automatically. After that i tried to import the digital certificate again but failed to import due to unknown reason. I tried several times and every time i got the same result.
After that i switch to the cisco anyconnect settings and uncheck the Block connection to untrusted servers option and try to reconnect. But i got the same result also.
I then decide to import the digital certificate on another machine to check whether the certificate was ok or may got corrupt. But on the other machine certificate was successfully imported. Now i was confirmed that something happens either to the browser or the cisco anyconnect or the operating system. Now i was damn sure that problem was with either browser or cisco anyconnect since i found the server and the digital certificate was working fine.
Now this time i decided to update the browser. I updated the browser as i thought and again try to import the digital certificate and you won’t believe this time the certificate was successfully imported. It gives me a little smile on my face. But that smile did not last long. When i tried to connect, all the little smile went just like all the air come out from a balloon at once.
This time i decide to uninstall the cisco anyconnect. After that i download the version of cisco anyconnect and reinstall it into the server. When i again try to connect cisco anyconnect, this time cisco anyconnect able to determine the digital certificate and username appears prefilled as it was appear before getting the Untrusted Server Blocked error message. This time i was able to connect to the remote server and it gave me a big smile on my face. I expect this method may work in windows server also.
Steps to Update Firefox
You can update firefox manually or use terminal to update using the following the below commands.
Step 1. Open terminal [ Ctrl + Alt +T ]
Step 2. #sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa
Step 3. #sudo apt update && sudo apt install firefox
That’s it!
If you have installed firefox, then it will replace the older version of firefox.
Steps to Import Digital Certificate
To import the digital certificate, follow the below steps
Step 1. Open Firefox browser
Step 2. Click Edit and then Preferences or click menu button and then click Preferences
Step 3. Click Advanced icon
Step 4. Click Certificates and then click View Certificates
Step 5. Click Your Certificates and then click Import button
Step 6. Browse the digital certificate file and click Open button
Step 7. Now enter the Private Key of the digital certificate file and click O.K
Step 8. You will get message “successfully restored your security certificate(s) and private key(s)”
That’s it.
Steps to Uninstall Cisco AnyConnect
You can uninstall the cisco anyconnect from ubuntu server with the below commands. Simple open the terminal by pressing Ctrl + Alt +T on the keyboard and type the following below commands.
Steps to Install Cisco AnyConnect
Before the installation, you must need to download the latest version of the cisco anyconnect. Follow the below steps to download and install Cisco anyconnect in your ubuntu 16.04 server.
Step 1. Go to vpn.nic.in and then hover mouse pointer on Software and then click VPN Client for linux 64-bit 4.5
Step 2. Change download location to Desktop and Click Save button to download the file.
Step 3. Now extract the downloaded file i.e, anyconnect-linux64-4.5.04029-k9.tar.gz
Step 4. Now open terminal on Desktop
Step 5. Type command #cd Desktop/
Step 6. Type command #cd anyconnect-linux64-4.5.04029
Step 7. Type command #cd vpn
Step 8. Type command #sudo apt-get update
Step 9. Type command #sudo apt-get install libpangox-1.0-0 libcanberra-gtk-module
Step 10. Type command #./vpn_install.sh
Step 11. Press Y when asked.
Step 12. Open Cisco Anyconnect secure mobility client
Step 13. Type sconnect.nic.in against Connect to and then click Connect
Step 14. After that enter vpn password and then click Connect and then click Accept.
That’s it!
So friends, if you like this post then feel free to comment and share this post on so that others can get the benefit of this post.
Cisco Anyconnect и Windows 2003 Sp2
Зарегистрирован: 23.01.2004
Пользователь #: 13,688
Сообщения: 18
| pic.jpg | |
| Описание: | |
| Размер файла: | 168.55 KB |
| Просмотрено: | 2980 раз(а) |
 | |
Новичок
Зарегистрирован: 23.01.2004
Пользователь #: 13,688
Сообщения: 18
Зарегистрирован: 25.02.2009
Пользователь #: 76,554
Сообщения: 1662
Зарегистрирован: 23.01.2004
Пользователь #: 13,688
Сообщения: 18
Зарегистрирован: 23.01.2004
Пользователь #: 13,688
Сообщения: 18
Зарегистрирован: 24.11.2010
Пользователь #: 92,751
Сообщения: 1033
Зарегистрирован: 23.01.2004
Пользователь #: 13,688
Сообщения: 18
Зарегистрирован: 25.02.2009
Пользователь #: 76,554
Сообщения: 1662
Пример настройки доступа к локальной сети клиента AnyConnect и клиента VPN
Параметры загрузки
Об этом переводе
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Содержание
Введение
В этом документе описывается, как разрешить клиенту Cisco VPN или Cisco AnyConnect Secure Mobility доступ к локальной сети только при туннелировании в многофункциональное устройство обеспечения безопасности Cisco ASA серии 5500 или ASA серии 5500-X. Эта конфигурация разрешает клиентам Cisco VPN или Cisco AnyConnect Secure Mobility безопасный доступ к корпоративным ресурсам через IPsec, уровень защищенных сокетов (SSL) или по протоколу Internet Key Exchange версии 2 (IKEv2), в то же время предоставляя возможность локально выполнять такие действия, как печать. Если это разрешено, трафик, предназначенный для Интернета, по-прежнему туннелируется к устройству ASA.
Предварительные условия
Требования
В этом документе предполагается, что функциональная конфигурация VPN для удаленного доступа уже существует на устройстве ASA.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Схема сети
Клиент находится в типичной сети малого / домашнего офиса (SOHO) и подключается через Интернет к главному офису.
Общие сведения
В отличие от классического сценария раздельного туннелирования, в котором весь трафик Интернета отправляется нешифрованным, при разрешении доступа к локальной сети для VPN-клиентов, таким клиентам разрешается обмениваться нешифрованными данными только с устройствами из сети клиента. Например, клиент, которому разрешен локальный доступ к LAN при наличии подключения к устройству ASA из дома, может выполнять печать на собственном принтере, но не имеет доступа к Интернету без предварительной передачи трафика по туннелю.
Список доступа используется, чтобы разрешить доступ к локальной сети подобно тому, как в устройстве ASA настраивается раздельное туннелирование. Однако вместо определения сетей, которые должны шифроваться, в данном случае список доступа определяет сети, которые не должны шифроваться. Кроме того, в отличие от сценария раздельного туннелирования, в таком списке не требуется указывать действительные сети. Вместо этого устройство ASA предоставляет сеть по умолчанию 0.0.0.0/255.255.255.255, которая воспринимается как локальная сеть клиента.
Примечание. Когда клиент подключен и настроен для доступа к локальной сети, вы не можете выполнять печать или просмотр по имени в локальной сети. Однако имеется возможность просмотра или печати по IP-адресу. См. раздел Поиск и устранение неполадок этого документа для получения дополнительной информации, а также сведений о временных решениях для этой ситуации.
Настройка доступа к локальной сети для VPN-клиентов или клиента AnyConnect Secure Mobility Client
Выполните следующие действия, чтобы разрешить клиентам Cisco VPN или Cisco AnyConnect Secure Mobility доступ к их локальной сети при наличии подключения к устройству ASA:
Настройка ASA через ASDM
Выполните следующие действия в ASDM, чтобы разрешить клиентам VPN доступ к локальной сети при наличии подключения к устройству ASA:
Настройка ASA через интерфейс командной строки
Разрешить VPN-клиентам доступ к локальной сети при наличии подключения к ASA можно не только при помощи ASDM, но и посредством интерфейса командной строки устройства ASA:
Внимание. : Из-за различий в синтаксисе списка контроля доступа в версиях 8.x и 9.x программного обеспечения ASA этот список контроля доступа стал некорректным, и администраторы будут получать следующее сообщение об ошибке при попытке его настройки:
rtpvpnoutbound6(config)# access-list test standard permit host 0.0.0.0
Ошибка: недопустимый IP-адрес
Можно использовать только следующую команду:
rtpvpnoutbound6(config)# access-list test standard permit any4
Это известная неполадка, для обхода которой был создан идентификатор ошибки Cisco CSCut3131. Выполните обновление до версии, в которой исправлена эта ошибка, чтобы иметь возможность настроить доступ к локальной сети.
Настройка клиента Cisco AnyConnect Secure Mobility
Для раздельного туннелирования типа Split-exclude необходимо включить AllowLocalLanAccess в клиенте AnyConnect. Раздельное туннелирование типа All split-exclude рассматривается как доступ к локальной сети. Для использования функции исключения в раздельном туннелировании необходимо включить опцию AllowLocalLanAccess в настройках VPN-клиента AnyConnect. По умолчанию доступ к локальной сети отключен.
Пользовательские настройки
Для того чтобы разрешить доступ к локальной сети, в клиенте Cisco AnyConnect Secure Mobility на вкладке Preferences (Настройки) необходимо сделать следующие настройки.
Пример профиля XML
Показан пример настройки профиль VPN-клиента с использованием XML.
Проверка
Выполните действия, описанные в этих разделах, чтобы проверить конфигурацию.
Подключите клиент Cisco AnyConnect Secure Mobility к устройству ASA, чтобы проверить конфигурацию.
В данном примере клиенту разрешен доступ к локальной сети по адресу 10.150.52.0/22 и 169.254.0.0/16, а весь прочий трафик зашифрован и передается через туннель.
Клиент Cisco AnyConnect Secure Mobility
При изучении журналов AnyConnect из комплекта средств диагностики и создания отчетов (DART) можно определить, установлен ли параметр, разрешающий доступ к локальной сети.
Проверка доступа к локальной сети с помощью эхо-запроса
Дополнительный способ проверить наличие доступа VPN-клиента к локальной сети при использовании туннелирования к головному устройству VPN состоит в использовании команды ping в командной строке Microsoft Windows. В приведенном примере локальная сеть клиента имеет адрес 192.168.0.0/24, а другой хост находится в сети с IP-адресом 192.168.0.3.
Устранение неполадок
Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.
Невозможность печати или просмотра по имени
Когда VPN-клиент подключен и настроен для доступа к локальной сети, в данной сети печать или просмотр по имени невозможны. Имеется два пути обхода такой ситуации:
В версии Microsoft Windows XP Professional Edition файл LMHOSTS расположен в папке %SystemRoot %\System32\Drivers\Etc.Обратитесь к документации Microsoft или статье базы знаний Microsoft 314108 для получения дополнительной информации.
connection attempt has failed anyconnect
[11/11/2013 1:55:55 PM] Ready to connect. [11/11/2013 1:57:05 PM] Contacting —.—.—.— [11/11/2013 1:57:07 PM] Please enter your username and password. [11/11/2013 1:57:08 PM] User credentials entered. [11/11/2013 1:57:08 PM] Establishing VPN session. [11/11/2013 1:57:09 PM] Checking for profile updates. [11/11/2013 1:57:09 PM] Checking for product updates. [11/11/2013 1:57:10 PM] Checking for customization updates. [11/11/2013 1:57:10 PM] Performing any required updates. [11/11/2013 1:57:15 PM] Establishing VPN session. [11/11/2013 1:57:15 PM] Establishing VPN — Initiating connection. [11/11/2013 1:57:16 PM] Disconnect in progress, please wait. [11/11/2013 1:57:29 PM] Connection attempt has failed. [11/11/2013 1:59:31 PM] Ready to connect.
Я попытался отключить брандмауэр и антивирус. Я не думал, что это будет иметь значение, поскольку мой ноутбук использует тот же брандмауэр и антивирус, и мне не нужно было его отключать. Мой ноутбук использует Windows 7 Home 64-bit, а мой компьютер с ошибкой использует 64-разрядную версию Windows 7 Ultimate.
6 ответов
Решением для меня было отключить общий доступ к подключению Интернета (ICS).
Чтобы устранить эту проблему:
Я вижу, что отключение ICS не работало для OP, но это работало для меня и многих других, по мнению различных форумов, кажется.
ответ Натана на этой странице не работал для меня, потому что флажки Allow other network users[. ] были очищены для всех все равно.
Я отключил ICS таким образом:
KB ID 0001279В DtdВ 31/01/17
Problem
We had a firewall fail at work this week, as part of the rebuild the latest OS was put on it, version 9.7(1). I thought no more about it until I tried to VPN in and got this;
I used my Windows 10 VM and that connected fine, only my MacBook could not connect, this VPN tunnel is a big deal I need it to get onto client’s networks. I tried my other VPN connections and every one was fine, only the recently rebuilt one didn’t work? Ive seen OSX throw a wobbly with AnyConnect in the past so I did a complete uninstall, В deleted the opt/cisco folder and put on the latest version (4.4.00243 at time of writing) no change.
Connection attempt has failed due to server communication errors. Please retry the connection
A look in the client message history showed me this..
No valid certificates available for authentication.
I checked my certificates, and the certificate on the firewall both they, (and the certificate chain,) were fine.
Debugging AnyConnect gave NO OUTPUT at all, but debugging SSL showed me this;
Try Googling that and getting a result! In fact that’s probably what brought you here.
Solution
If you change a Cisco OS and things like this stop working normally it’s because they’ve dropped support for something that’s got a security hole in it. In the wake of the Poodle Exploit I assumed it was an SSL/TLS problem, but that wasn’t it.
I was in the right ball park though, and a bit of lateral thinking and SSL cipher problems I’ve had with ASDM, made me think, what if it’s SHA that’s been dropped because everyone is dropping SHA1 cause it’s the hashing algorithm of Satan?
Well as soon as I added a SHA1 ciphers back in, everything started working again!
Disclaimer: SHA1 is bad, where practical all cert ciphers should be at least SHA256
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Hi all, I’m very new in AnyConnect and I’m doing something wrong.
If I navigate to https://myIP I can successfully log into the portal, download and install the AnyConnect Client and also CONNECT to the VPN.
But if I disconnect to the VPN, and try to login again through the try icon, I get a «connection attempt has failed».
So the only way I have to connect again is to navigate another time to the web portal and then, after login again, the VPN connection is successfully done.
Thanks for your help!
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Glad you worked it out. Please consider marking as answered and rating helpful post so this can be useful to others who may run into the same issues.
If this posts answers your question or is helpful, please consider rating it and/or marking as answered.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Are you using a Router or ASA has the VPN gateway? If you are using an ASA, check your DAP policy under Configuration, Network (Client) Access, Dynamic Access Policies. If there are policies there, chose the profile that is mapped to the tunnel you are connecting too and then go to «Access Method». Ensure «Web Portal» isn’t checked. If you want to be able use the portal and the client, you need to change it to one of the «Both» choices. If there is no DAP, we’ll have to dig a little deeper.
If this posts answers your question or is helpful, please consider rating it and/or marking as answered.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Hello Christopher, thanks for your answer.
I’m using an ASA, and in DAP I only have the DfltAccess, and I changed the Access Method from Unchanged to Both, but I have the same problem.
Now I have a question (sorry if it is obvious), using the portal, I provide the login/passwd, but using only the client it doesn’t ask me for credentials, it only shows the certificate error (cause it is self-signed), and when I accept it, the connection fails.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
When you go to login through the AC client, what is in the «Connect To:» box? It may be an issue regarding the AC profile that gets downloaded after successfully logging in and downloading the client via web portal.
**Please remember to rate helpful posts as well as mark the question as ‘answered’ once your issue is resolved. This will help others to find your solution faster.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Hi, in the connect To box there is the public IP of the ASA, so I think it might be correct. Then appears an Untrusted VPN Certificate warning, and after clicking «Connect Anyway» it shows the error.
I have the anyconnect-win-3.1.04063-k9.pkg client software, should I try a lower version?
Maybe I’ll try to create the certificate through a Windows Server CA and then import to ASA and to the client, so see if it solves the issue.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
First try this. Open the AnyConnect Client, go to the Preferrences tab, and make sure the box that says «Block Untrusted Servers» is NOT checked.
If this posts answers your question or is helpful, please consider rating it and/or marking as answered.
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Hi Christopher, that was the first I have to do in order to be able to connect when I connect to the VPN (through the web) for the first time. So I can confirm it is unchecked.
Thanks for the advice
» means nesting-related): — Failed at: @displayUserCertifications user_id [in template «custom.author-acclaim-certifications» at line 4, column 9] ——>
Do you have access to ASDM or a syslog server? It would be best if you could grab the exact error message in the logs when you try to connect.
Also, if you are using ASDM — make sure you have «Enable Cisco AnyConnect VPN Client Access on the intefaces in the table below» checked. Assuming you are using the «outside» interface, check that one and enable DTLS. Then click «Device Certificate» and make sure you have the correct certificate chosen for the SSL connection (probably the ASAs self signed certificate».
Make sure «Bypass interface access lists for inbound VPN sessions» is checked as well.
If this posts answers your question or is helpful, please cons />