Cisco IOS 12.4.24 просит лицензию при подключении AnyConnect?

Question

[Владимир Пилипчук]

Понадобилось тут настроить в филиалах Cisco SSL VPN. Поставил, настроил — все работает.

Но всплыла проблема в одном из филиалов — отшивает Циска — просит лицензию.

The required license for this type ov VPN client is not avaliable on the secure gateway

Во всех точках стоять 2811

Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(24)T8, RELEASE SOFTWARE (fc1)

webvpn gateway GATEWAY
 hostname tf.domain.ru
 ip address X.X.X.X port 443
 http-redirect port 80
 ssl trustpoint tf.domain.ru
 logging enable
 inservice
 !
webvpn install svc flash:/webvpn/anyconnect-win-2.5.3046-k9.pkg sequence 1
 !
webvpn context sslvpn
 title "WELCOME TO COOL SSLVPN Server"
 secondary-color white
 title-color #CCCC66
 text-color black
 ssl authenticate verify all
 !
 login-message "Enter your credentials"
 !
 policy group vpn1
   functions svc-enabled
   banner "Authentication on SSLVPN server success"
   timeout idle 3600
   timeout session 10800
   svc address-pool "EVPN_POOL"
   svc default-domain "tep.local"
   svc keep-client-installed
   svc split dns "tep.local"
   svc split include 10.0.0.0 255.0.0.0
   svc split include X.X.X.X 255.255.255.255
   svc dns-server primary 10.70.11.251
   svc dns-server secondary 10.70.12.80
 default-group-policy vpn1
 aaa authentication list evpn_auth_1
 aaa accounting list vpn-users
 gateway GATEWAY
 max-users 100
 logging enable
 inservice
!
end

Прошу помощи, коллеги, так как не ожидал такой подлянки от IOS 12.4 (железки закупались одинаковые, одной партией. Почему на всех работает а на этой нет ума не приложу).

Answer 1

[Владимир Пилипчук]

Вопрос решился подбором ROM-MON и IOS без изменения конфигурации сервисов
Все заработало в следующей комплектации:

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
System image file is "usbflash0:c2800nm-advipservicesk9-mz.151-2.T2.bin"

В чем сакральный смысл я до сих пор не понимаю…

Answer 2

[JDima]

Сколько юзеров уже подключено? Или первого отшивает? Что говорит «show license»? Ребуталась ли железка (мало ли)?

Comments

[Владимир Пилипчук]

Подключиться не получается вообще. Принимает сертификат, логин и пароль, устанавливается соединение, а потом выдает упомянутое уведомление.
Ребутали неоднократно.

sh lic
Index 1 Feature: ios-ips-update 

[JDima]

А на соседях sh lic что покажет?

Вообще, anyconnect на роутерах отдельно лицензируется, и даже не по RTU. Может, вопрос к поставщику — «куда делась лицензия»? Правда, я его на роутерах не поднимал, так что уверенности нет.

[Владимир Пилипчук]

На соседях то же самое — Index 1 Feature: ios-ips-update. я же говорю — железки одинаковые.

[JDima]

Ну значит все-таки не одинаковые, и надо искать различия.

Answer 3

[Владимир Пилипчук]

Самое интересное, что на всех четырех филиалов эниконнект завелся с полпинка, а вот на одной не хочет… и я не могу понять что я делаю не так… в тонкостях лицензирования сиско, с кожалению, я почти нуб. Там же еще есть тонкости совместимости IOS-ROMMON

Answer 4

[pavelsh]

Дебаги уже смотрели?

Comments

[Владимир Пилипчук]

да, но это не прояснило ситуацию

Дебаг одной сессии

Jul 3 17:48:24.131: %SSLVPN-5-SSL_TLS_ERROR: vw_ctx: UNKNOWN vw_gw: ENTC-KF i_vrf: 0 f_vrf: 0 status: SSL/TLS connection error with remote at 1.1.1.1:50959
Jul 3 17:48:26.631: %SSLVPN-5-SSL_TLS_CONNECT_OK: vw_ctx: UNKNOWN vw_gw: ENTC-KF i_vrf: 0 f_vrf: 0 status: SSL/TLS connection successful with remote at 1.1.1.1:50960
Jul 3 17:48:26.631: WV: sslvpn process rcvd context queue event
Jul 3 17:48:26.635: WV: sslvpn process rcvd context queue event
Jul 3 17:48:26.663: WV: sslvpn process rcvd context queue event
Jul 3 17:48:26.663: WV: Entering APPL with Context: 0x49A59488,
Data buffer(buffer: 0x49B649E0, data: 0x3F9D0878, len: 900,
offset: 0, domain: 0)
Jul 3 17:48:26.663: WV: Appl. processing Failed: 2
Jul 3 17:48:26.663: WV: server side not ready to send.
Jul 3 17:48:27.467: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.467: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.491: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.491: WV: Entering APPL with Context: 0x49A59488,
Data buffer(buffer: 0x49B649E0, data: 0x3F691998, len: 487,
offset: 0, domain: 0)
Jul 3 17:48:27.495: WV: http request: / with no cookie
Jul 3 17:48:27.495: %SSLVPN-5-HTTP_REQUEST_NOT_AUTHORIZED: vw_ctx: sslvpn vw_gw: ENTC-KF remote_ip: 1.1.1.1 status: HTTP request without login cookie resource: /
Jul 3 17:48:27.495: WV: Client side Chunk data written…
buffer=0x49B64600 total_len=190 bytes=190 tcb=0x49C95080
Jul 3 17:48:27.495: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.679: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.679: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.707: WV: sslvpn process rcvd context queue event
Jul 3 17:48:27.707: WV: Entering APPL with Context: 0x49A58570,
Data buffer(buffer: 0x49B649E0, data: 0x3F207058, len: 531,
offset: 0, domain: 0)
Jul 3 17:48:27.707: WV: http request: /webvpn.html with domain cookie
Jul 3 17:48:27.707: WV: Client side Chunk data written…
buffer=0x49B64600 total_len=720 bytes=720 tcb=0x499D6028
Jul 3 17:48:27.711: WV: sslvpn process rcvd context queue event
Jul 3 17:48:36.911: %SSLVPN-5-SSL_TLS_CONNECT_OK: vw_ctx: UNKNOWN vw_gw: ENTC-KF i_vrf: 0 f_vrf: 0 status: SSL/TLS connection successful with remote at 1.1.1.1:50963
Jul 3 17:48:36.911: WV: sslvpn process rcvd context queue event
Jul 3 17:48:36.915: WV: sslvpn process rcvd context queue event
Jul 3 17:48:36.943: WV: sslvpn process rcvd context queue event
Jul 3 17:48:36.943: WV: Entering APPL with Context: 0x49A58120,
Data buffer(buffer: 0x49B649E0, data: 0x3F9B1298, len: 621,
offset: 0, domain: 0)
Jul 3 17:48:36.947: WV: http request: /webvpn.html with domain cookie
Jul 3 17:48:36.947: WV: ASYNC req sent
Jul 3 17:48:36.959: %SSLVPN-5-LOGIN_AUTH_PASSED: vw_ctx: sslvpn vw_gw: ENTC-KF remote_ip: 1.1.1.1 user_name: test-user, Authentication successful, user logged in
Jul 3 17:48:36.963: WV: Client side Chunk data written…
buffer=0x49B649E0 total_len=585 bytes=585 tcb=0x499D6028
Jul 3 17:48:36.967: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.911: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.915: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.943: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.943: WV: Entering APPL with Context: 0x49A589C0,
Data buffer(buffer: 0x49B649E0, data: 0x3F205CD8, len: 238,
offset: 0, domain: 0)
Jul 3 17:48:38.943: WV: http request: /+CSCOT+/translation-table?type=combined-manifest&textdomain=AnyConnect with cookie: Cookie: webvpn=00@1505604646@00005@3581862516@0261470087@sslvpn
Jul 3 17:48:38.943: WV: Client side Chunk data written…
buffer=0x49B64600 total_len=135 bytes=135 tcb=0x4A5AEA48
Jul 3 17:48:38.943: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.967: WV: sslvpn process rcvd context queue event
Jul 3 17:48:38.967: %SSLVPN-5-SSL_TLS_ERROR: vw_ctx: sslvpn vw_gw: ENTC-KF i_vrf: 0 f_vrf: 0 status: SSL/TLS connection error with remote at 1.1.1.1:50964
Jul 3 17:48:39.479: WV: sslvpn process rcvd context queue event
Jul 3 17:48:39.483: WV: sslvpn process rcvd context queue event
Jul 3 17:48:39.527: WV: sslvpn process rcvd context queue event
Jul 3 17:48:39.527: WV: Entering APPL with Context: 0x49A58798,
Data buffer(buffer: 0x49B649E0, data: 0x3F946998, len: 928,
offset: 0, domain: 0)
Jul 3 17:48:39.527: WV: http request: /CSCOSSLC/tunnel with cookie: Cookie: webvpn=00@1505604646@00005@3581862516@0261470087@sslvpn
Jul 3 17:48:39.531: WV: Client side Chunk data written…
buffer=0x49B64600 total_len=428 bytes=428 tcb=0x4A5AEA48
Jul 3 17:48:39.539: WV: sslvpn process rcvd context queue event
Jul 3 17:48:39.999: WV: sslvpn process rcvd context queue event
Jul 3 17:48:39.999: WV: Entering APPL with Context: 0x49A58798,
Data buffer(buffer: 0x49B649E0, data: 0x3F203F58, len: 58,
offset: 0, domain: 0)
Jul 3 17:48:39.999: WV: Appl. processing Failed: 2
Jul 3 17:48:40.015: WV: sslvpn process rcvd context queue event
Jul 3 17:48:40.259: WV: sslvpn process rcvd context queue event

[pavelsh]

Ищите теперь google по этой строчке «WV: Appl. processing Failed: 2»
Я поискал и первой вылетела ссылка supportforums.cisco.com/thread/230910 — посмотрите.

А вообще с таким лучше в TAC сразу идти, чтобы свое время не тратить.

[Владимир Пилипчук]

Я это читал…
К сожалению в TAC обращаться с нашим оборудованием уже нельзя — 2811 сняты с поддержки и контракты не продаются. Уже закупаем новое оборудование, но работать как-то надо сейчас.

Одновременно с этим настроен EasyVPN, но после последнего ребута траффик внутри туннеля отказывается ходить. Туннель поднимется, соединение устанавливается, но траффик не ходит. В связи с этим и заморочились с SSL (хотя я сам противник SSL на роутерах, это сервис для ASA, однако других вариантов нет пока). Если кто занет как лечится этот глюк — скажите пожалуйста.

[pavelsh]

Странно. Мы смартнеты как-то на них покупаем.
Вы видели список debug-ов которые есть в той ссылке что я привел? Что будет если их все включить?

То есть у вас и для EasyVPN проблема и для SSL?
Попробуйте отключить криптоакселератор «no crypto engine onboard 0»
Нам это помогало при залипаниях ipsec туннелей.

[Владимир Пилипчук]

debug webvpn какраз их все и включает. и он включен. Отключение движка ничего не дает… просто умирает VPN до ребута (включение не помогает)
При этом DMVPN исправно работает в любом случае.

[pavelsh]

Просто дебагов сильно мало.
Хочется увидеть больше дебагов в окрестности «WV: Appl. processing Failed: 2»

[Владимир Пилипчук]

Просто дебагов сильно мало.
Хочется увидеть больше дебагов в окрестности «WV: Appl. processing Failed: 2»

Ваши предложения

[Владимир Пилипчук]

Включил самый полный дебаг webvpn доступный на 12.4

Самый полный лог сессии

Jul  4 04:43:13.715: %SSLVPN-5-SSL_TLS_ERROR: vw_ctx: UNKNOWN vw_gw: ENTC-KF i_vrf: 0 f_vrf: 0 status: SSL/TLS connection error with remote at 2.2.2.2:51404
Jul  4 04:43:19.496: WV-COOKIE: Created ctx cookie: Set-Cookie: webvpncontext=00@sslvpn; path=/
Jul  4 04:43:19.500: %SSLVPN-5-HTTP_REQUEST_NOT_AUTHORIZED: vw_ctx: sslvpn vw_gw: ENTC-KF remote_ip: 2.2.2.2  status: HTTP request without login cookie resource: /
Jul  4 04:43:19.740: WV-COOKIE: Enter VW context cookie check with Context:0x49951838,
          buffer: 0x49A70EA0, buffer->data: 0x3F695618, buffer->len: 531,
          cookie: 0x3F6956B4, length: 33
Jul  4 04:43:19.740: WV-COOKIE: webvpn context cookie received is webvpncontext=00@sslvpn
Jul  4 04:43:19.744: WV-COOKIE: context portion in context cookie is: sslvpn
Jul  4 04:43:19.744: WV-COOKIE: Created ctx cookie: Set-Cookie: webvpncontext=00@sslvpn; path=/
Jul  4 04:43:28.984: WV-COOKIE: Enter VW context cookie check with Context:0x4994F168,
          buffer: 0x49A70EA0, buffer->data: 0x3F9777D8, buffer->len: 621,
          cookie: 0x3F977875, length: 33
Jul  4 04:43:28.984: WV-COOKIE: webvpn context cookie received is webvpncontext=00@sslvpn
Jul  4 04:43:28.984: WV-COOKIE: context portion in context cookie is: sslvpn
Jul  4 04:43:28.984: WV-AAA: AAA authentication request sent for user: "test-user"
Jul  4 04:43:29.004: WV-AAA: username: Processing AV
Jul  4 04:43:29.004: WV-AAA: AAA Authentication Passed!
Jul  4 04:43:29.004: %SSLVPN-5-LOGIN_AUTH_PASSED: vw_ctx: sslvpn vw_gw: ENTC-KF remote_ip: 2.2.2.2 user_name: test-user, Authentication successful, user logged in
Jul  4 04:43:29.004: WV-COOKIE: core: 0 ipaddr: 2.2.2.2, index: 3, time: 3581901809, random: 1348109991
Jul  4 04:43:29.004: WV-AAA: User "test-user" has logged in from "2.2.2.2" to gateway "ENTC-KF" context "sslvpn"
Jul  4 04:43:29.004: WV-AAA: Allocated AAA unique id 39 user test-user
Jul  4 04:43:29.004: WV-AAA: Calling START accounting
Jul  4 04:43:29.004: WV-AAA: Adding group name vpn1
Jul  4 04:43:29.008: WV-COOKIE: Created gateway cookie: 00@3287709284@00003@3581901809@1348109991@sslvpn
Jul  4 04:43:55.216: WV-COOKIE: Enter VW context cookie check with Context:0x4994FE58,
          buffer: 0x49A70EA0, buffer->data: 0x3F695958, buffer->len: 238,
          cookie: 0x3F695A03, length: 65
Jul  4 04:43:55.216: WV-COOKIE: Enter gw cookie auth with Context: 0x4994FE58,
          buffer: 0x49A70EA0, buffer->data: 0x3F695958, buffer->len: 238,
          cookie: 0x3F695A03, length: 65
Jul  4 04:43:55.216: WV-COOKIE: Limited cookie parser element display: Cookie
Jul  4 04:43:55.216: WV-COOKIE: Limited cookie parser element display: 00@3287709284@00003@3581901809@1348109991@sslvpn
Jul  4 04:43:55.216: WV-COOKIE: Gateway cookie 00@3287709284@00003@3581901809@1348109991@sslvpn is converted to
Jul  4 04:43:55.216: WV-COOKIE: cid 0  ip: 2.2.2.2,gw_index: 3,time: 3581901809,rand: 1348109991,context_name: sslvp
Jul  4 04:43:56.300: WV-COOKIE: Enter VW context cookie check with Context:0x4994E028,
          buffer: 0x49A70EA0, buffer->data: 0x3F984618, buffer->len: 928,
          cookie: 0x3F984695, length: 65
Jul  4 04:43:56.300: WV-COOKIE: Enter gw cookie auth with Context: 0x4994E028,
          buffer: 0x49A70EA0, buffer->data: 0x3F984618, buffer->len: 928,
          cookie: 0x3F984695, length: 65
Jul  4 04:43:56.300: WV-COOKIE: Limited cookie parser element display: Cookie
Jul  4 04:43:56.300: WV-COOKIE: Limited cookie parser element display: 00@3287709284@00003@3581901809@1348109991@sslvpn
Jul  4 04:43:56.300: WV-COOKIE: Gateway cookie 00@3287709284@00003@3581901809@1348109991@sslvpn is converted to
Jul  4 04:43:56.300: WV-COOKIE: cid 0  ip: 2.2.2.2,gw_index: 3,time: 3581901809,rand: 1348109991,context_name: sslvp
Jul  4 04:43:56.300:
Jul  4 04:43:56.300:
Jul  4 04:43:56.300: WV-TUNL: Tunnel CSTP Version recv  use 1
Jul  4 04:43:56.300: WV-TUNL: Allocating tunl_info
Jul  4 04:43:56.300: WV-TUNL: Allocating stc_config
Jul  4 04:43:56.300: WV-TUNL: Allocating address 10.24.15.14 from local pool
Jul  4 04:43:56.300:  Inserting static route: 10.24.15.14 255.255.255.255 SSLVPN-VIF0 to routing table
Jul  4 04:43:56.300: WV-TUNL: Use allocated IP addr (10.24.15.14) netmask (255.255.255.0)
Jul  4 04:43:56.304: WV-TUNL: Created HTTP reply for tunnel request
Jul  4 04:43:56.304: HTTP/1.1 200 OK
Jul  4 04:43:56.304: Server: Cisco IOS SSLVPN
Jul  4 04:43:56.304: X-CSTP-Version: 1
Jul  4 04:43:56.304: X-CSTP-Address: 10.24.15.14
Jul  4 04:43:56.304: X-CSTP-Netmask: 255.255.255.0
Jul  4 04:43:56.304: X-CSTP-Keep: true
Jul  4 04:43:56.304: X-CSTP-DNS: 10.24.11.251
Jul  4 04:43:56.304: X-CSTP-Lease-Duration: 10800
Jul  4 04:43:56.308: X-CSTP-MTU: 1406
Jul  4 04:43:56.308: X-CSTP-Default-Domain: kfsibentc.local
Jul  4 04:43:56.308:
Jul  4 04:43:56.308:
Jul  4 04:43:56.308: HTTP/1.1 200 OK
Jul  4 04:43:56.308: Server: Cisco IOS SSLVPN
Jul  4 04:43:56.308: X-CSTP-Version: 1
Jul  4 04:43:56.308: X-CSTP-Address: 10.24.15.14
Jul  4 04:43:56.308: X-CSTP-Netmask: 255.255.255.0
Jul  4 04:43:56.308: X-CSTP-Keep: true
Jul  4 04:43:56.308: X-CSTP-DNS: 10.24.11.251
Jul  4 04:43:56.308: X-CSTP-Lease-Duration: 10800
Jul  4 04:43:56.308: X-CSTP-MTU: 1406
Jul  4 04:43:56.308: X-CSTP-Default-Domain: kfsibentc.local
Jul  4 04:43:56.308: X-CSTP-Split-Include: 10.0.0.0/255.0.0.0
Jul  4 04:43:56.308: X-CSTP-Split-Include: 1.1.1.1/255.255.255.255
Jul  4 04:43:56.312: X-CSTP-Split-DNS: kfsibentc.local
Jul  4 04:43:56.312: X-CSTP-DPD: 300
Jul  4 04:43:56.312: X-C
STP-Keepalive: 30
Jul  4 04:43:56.312:
Jul  4 04:43:56.312:
Jul  4 04:43:56.312:
Jul  4 04:43:56.312: WV-AAA: Sending TUNL IP (10.24.15.14) addr update
Jul  4 04:43:56.312: WV-TUNL: Session user (test-user) DPD timer (300) started
Jul  4 04:43:56.732: WV-TUNL: CSTP Message frame received from user test-user (10.24.15.14)
WV-TUNL:      Severity ERROR Type USER_LOGOUT
WV-TUNL:      Text: Required license not installed on secure gateway.
Jul  4 04:43:56.736: WV-TUNL: Call user logout function
Jul  4 04:43:56.736: WV-TUNL: Clean-up tunnel session (test-user)
Jul  4 04:43:56.736: WV-TUNL: Deallocating tunnel info 0x4961B390
Jul  4 04:44:06.841:  Deleting static route: 10.24.15.14 255.255.255.255 SSLVPN-VIF0 from routing table
Jul  4 04:44:06.841: WV-TUNL: Tunnel context (0x4994E028) is removed from session (0x49660D88)
Jul  4 04:44:26.813: %SSLVPN-5-SESSION_TERMINATE: vw_ctx: sslvpn vw_gw: ENTC-KF remote_ip: 2.2.2.2 user_name: test-user reason: session expired
Jul  4 04:44:26.813: WV-AAA: Calling STOP accounting
Jul  4 04:44:26.813: WV-COOKIE: Remove gw_cookie
Jul  4 04:44:26.813: WV-TUNL: Returning address 10.24.15.14 to pool
Jul  4 04:44:26.813: WV-TUNL: Deallocating stc config 0x49611008

[pavelsh]

Jul 4 04:43:56.732: WV-TUNL: CSTP Message frame received from user test-user (10.24.15.14)
WV-TUNL: Severity ERROR Type USER_LOGOUT
WV-TUNL: Text: Required license not installed on secure gateway.

[Владимир Пилипчук]

В этом и все чудо… не должно такого быть на 12.4

[pavelsh]

Вооот. Делаете такой же дебаг на рабочей cisco, смотрите что там пишет. Смотрите что «плохая» cisco думает про лицензии.

И вообще, как Дима посоветовал — ищите разницу между хорошей и плохой. Берите в руки какой нибудь визуальный diff, python/perl чтобы в дебагах постирать всякое там время и смотрите

Но вообще, когда Cisco перестает шифровать по Easy VPN и SSL VPN на ней так же не работает (я прав?), то я бы эту Cisco из эксплуатации выводил.

Answer 5

[Владимир Пилипчук]

После Вашего совета

Попробуйте отключить криптоакселератор «no crypto engine onboard 0»

теперь вообще не подключается… =(

Comments

[pavelsh]

Ну круто, чё. У нас эта команда никаким образом ничего не ломало, а только лечило странные залипания ipsec-а (сессия есть, но трафик не ходит)

[JDima]

Небось вбито что-то вроде «no crypto engine software ipsec».
Но вообще отключать акселератор стоит лишь в рамках диагностики — нагрузка на ЦП сильно скаканет.

[pavelsh]

Нет, не вбито. Вбито только «no crypto engine onboard 0» И загрузка не увеличилась, во всяком случае визуально не видно. Может трафик детский, конечно.