Anyconnect как отключить на ноутбуке

Обновлено: 06.07.2024

Добрый день! Возникла такая же проблема с Cisco Anyconnect на нескольких ПК. На версии annyconnect 4.7 постоянный рекконект, на версии 4,8 вообще не подключается. Шлюз сбрасывает соединение. Отключение ICS не помогло. В чём еще может быть причина?

Вложения

Surf_rider

Администратор

После ядерного апокалипсиса останутся только тараканы и Кит Ричардс

Apossum

Участник

Komissar

Почетный гость

К сожалению сказать не могу. Anyconnect используется для подключения к vpn мосрег. Там сотрудники обрабатывают письма и жалобы от населения. Из мосрега только присылают логин и пароль на вход. В тех поддержку мосрега обращались, они ничем помочь не смогли. Проблема возникла около недели назад только на нескольких пк.

Apossum

Участник

Инструкция по подключению VPN Вы по ней настраивали ? Если исключить вероятность плохого или низкоскоростного интернета то тут только им писать в . Так все что угодно может быть. Можно попробовать поставить на другом компе и посмотреть будет ли ошибка. Еще можно посмотреть журнал вашего ПК - пуск выполнить - eventvwr.msc , может там что то более конкретное будет

Komissar

Почетный гость

Настраивалось по инструкции и больше года все нормально работало. И вот около недели назад начались проблемы на нескольких пк, не на всех. Если ставить на свежий, чистый комп, где раньше anyconnect не было, то работает, если поставить приложение anyconnect на телефон, то тоже работает. Проблема получается именно в пк, шлюзу что-то не нравится и он сбрасывает соединение. Пробовал и из разных сетей, и из домена выводил, и адаптеры сетевые отключал/удалял/переустанавливал, проблема остается. Помогает только переустановка винды. Но это не выход. Хотелось бы разобраться в чем причина.

Это может быть связано с множеством причин. Иногда это блокировка антивируса или брандмауэра, а иногда это может быть вызвано плохим подключением к Интернету. Следующие будут основными причинами; упомянуть вкратце -

Проблема с антивирусом или брандмауэром: антивирусное программное обеспечение может время от времени мешать процессу подключения AnyConnect Client VPN и не позволять ему подключаться к внешним сетям или серверам из соображений безопасности. Часто он блокирует множество входящих и исходящих соединений. Таким образом, вы не сможете подключиться к своей любимой VPN с помощью Anyconnect.
Неправильная конфигурация клиента: если вы неправильно настроили свой клиент Anyconnect и хранящиеся в нем конфигурации VPN неверны, то вы столкнетесь с проблемами при установлении успешных соединений.
Интернет-ограничения: иногда IP-адреса некоторых стран могут быть заблокированы вашим интернет-провайдером, и вы можете сознательно не пытаться подключиться к VPN той же страны, которая была заблокирована вашим интернет-провайдером. Тогда вы столкнетесь с проблемами.

Решение 1. Отключение антивируса

Перво-наперво. В большинстве случаев проблема возникает из-за блокировки антивируса, что является распространенным сценарием. Следовательно, в таком случае вы должны попытаться отключить любой сторонний антивирус, который вы установили в своей системе, а затем попытаться подключиться к VPN с помощью AnyConnect. Надеюсь, это решит проблему.

Решение 2. Остановите службу подключения к Интернету

Время от времени служба ICS работает, что вызывает проблемы для клиента AnyConnect при подключении к VPN. Вам нужно будет отключить его, чтобы решить проблему. Вот как отключить службу:

Нажмите Windows + R и введите services.msc.
Когда откроется окно со службами, найдите службу общего доступа к подключению Интернета . Щелкните его правой кнопкой мыши и выберите « Остановить» .
Затем выйдите из окна служб , закрыв его.

Решение 3. Отключите общий доступ к подключению к Интернету (ICS)

Было несколько случаев, когда, если в Windows был включен ICS, пользователи сталкивались с этой проблемой. Чтобы отключить ICS, следуйте приведенным ниже инструкциям:

Откройте панель управления
Перейдите в раздел «Сеть и общий доступ к Интернету» и нажмите « Изменить настройки адаптера» .
После этого вам нужно будет щелкнуть правой кнопкой мыши по общему сетевому подключению , а затем выбрать « Свойства» .
В окне свойств нажмите на Совместное использование
Оказавшись там, вам нужно снять флажок с надписью « Разрешить другим пользователям сети подключаться через подключение к Интернету этого компьютера ».
После этого нажмите ОК.

Решение 4. Выберите параметр Подключиться к текущей сети в AnyConnect VPN.

Иногда клиентский VPN Any Connect колеблется между разными сетями, поэтому вам нужно выбрать вариант подключения только к текущей сети. Это может решить проблему для вас. Вот как это сделать:

Решение 5. Попробуйте другое подключение

Иногда используемое вами интернет-соединение может иметь некоторые ограничения или может работать неправильно, что является причиной проблемы. В таком сценарии вам придется использовать альтернативное соединение, такое как Wi-Fi или мобильная точка доступа, чтобы узнать, можете ли вы подключиться к VPN.

Я загружаю свой ноутбук, и AnyConnect работает. Я захожу в Настройки . Пользователи и группы и удаляю /Applications/Cisco/Cisco из моего списка элементов входа в систему, я выхожу из AnyConnect.

Выключить . включить компьютер позже, и он снова заработает и снова в моем списке элементов входа.

Компания, в которой я работаю, использует AnyConnect только для VPN.

Есть ли способ убрать AnyConnect из моего списка элементов входа в систему? Не то чтобы я возражал против того, чтобы он работал в фоновом режиме, но если он у меня команда + вкладка и т.д . и меня это просто раздражает.

Удаление следующего сработало для меня.

/Library/LaunchAgents/com.cisco.anyconnect.vpnagent.plist
/Library/LaunchDaemons/com.cisco.anyconnect.gui.plist

Обновление: для macOS Catalina и anyconnect 4.7.x достаточно удалить этот единственный файл:

/Library/LaunchAgents/com.cisco.anyconnect.gui.plist

Это мешает AnyConnect работать на меня.
Насколько я понимаю, LaunchDaemons запускается при загрузке, а LaunchAgents запускается при входе в систему. Не могли бы вы объяснить более подробно, насколько важны LaunchDaemons, или я неправильно понимаю?
2 Только что удалено com.cisco.anyconnect.gui.plist от /Library/LaunchAgents/ работал у меня. Графический интерфейс больше не запускается при входе в систему, но я все еще могу запустить приложение, когда это необходимо.
1 Я могу подтвердить в macOS Catalina, что просто удаляя /Library/LaunchAgents/com.cisco.anyconnect.gui.plist сделали свое дело. Приложение не запускается автоматически, но может быть запущено вручную без каких-либо проблем. Это наиболее элегантное решение, если вы не хотите повторно выполнять переустановку.
Я в Мохаве. В именах пользователей / Library / LaunchDaemons / нет подпапки.

Казалось бы, если ты только установите клиент VPN. AnyConnect не запустится автоматически.

Я удалил AnyConnect (версия 4.x), а затем переустановил, выполнив выборочную установку. Я только установил VPN, Я не устанавливал:

Веб-безопасность
Активатор AMP
Инструмент диагностики и отчетности
Поза
Поза ISE

Теперь AnyConnect больше не запускается автоматически (да!)

Сможете ли вы сказать, какой из демонов в разделе Library / LaunchDaemons есть? У меня та же проблема, и у меня они: com.cisco.anyconnect.aciseagentd.plist com.cisco.anyconnect.ciscod.plist com.cisco.anyconnect.vpnagentd.plist
У меня это не работает с версией 4.4.

Когда есть пользовательский интерфейс, очень вероятно, что он Больше чем просто перемещение одного файла. Не рискуйте пропустить эти лишние биты; используйте официальный и документированный пользовательский интерфейс.

launchctl эквивалентен systemd в Linux или services.msc в Windows. Каждый пользователь Mac должен иметь хотя бы смутное представление о том, что launchctl делает, потому что он управляет гораздо больше, чем AnyConnect: в основном каждый процесс, не запускаемый пользователем вручную.

В качестве бонуса и немного не по теме ответ, вот чистый способ перезапустить AnyConnect демон на случай, если он застрянет, как иногда бывает. Это другой процесс (-ы) AnyConnect более низкого уровня без какого-либо пользовательского интерфейса и работающий от имени пользователя root, который выполняет фактическую работу:

1 Теперь это долгое время - какое упорство, чтобы получить здесь отличный ответ. Спасибо

Это сводит меня с ума. Я наконец обнаружил 3 файла plist, которые, похоже, управляют этим в / Library / LaunchDaemons. Но я не мог изменить параметр RunAtLoad на false, потому что даже после того, как я изменил права доступа к файлам, я не смог сохранить файлы plist. Я наконец изменил права доступа к папке для чтения и записи и применил эти изменения к содержащимся в них элементам, и, наконец, я смог редактировать и сохранять. Я буду знать наверняка после следующей перезагрузки . кое-что сделаю через несколько дней, потому что повторный запуск занимает вечность.

Забудьте о сложном удалении списков и тому подобном, просто переименуйте Cisco AnyConnect Secure Mobility Client в Finder, вот и все.

Изменить: Странно, я получил отрицательный голос, потому что я только что тестировал его, и он работает без каких-либо проблем. Возможно, это не красивое решение, которое решает проблему основания (по дизайну?), Тем не менее .

Мне удалось остановить запуск клиента при запуске.

Я добился этого, просто переместив папку Cisco из Applications в любое другое место, например, Desktop: sudo mv /Applications/Cisco/ /Users//Desktop/Cisco

Это не разрешение самого файла, которое мешает вам редактировать, это разрешение содержащейся папки. Тогда вам не следует изменять разрешения таких системных файлов по соображениям безопасности. Но эти файлы легко редактировать: просто скопируйте их в другое место, где у вас есть разрешение на запись в файлы, например рабочий стол и отредактируйте там файлы. Затем переместите их обратно, заменив параметр и аутентифицируясь как администратор, и файл будет отредактирован.

Однако я не вижу тех трех файлов, о которых вы говорите. Я нахожу в своей системе только com.cisco.anyconnect.ciscod.plist и com.cisco.anyconnect.vpnagentd.plist в каталоге / Library / LaunchAgents. Возможно, что более важно, установка в этих двух файлах для параметра RunAtLoad значения false действительно предотвращает раздражающую переустановку приложения Cisco AnyConnect Secure Mobility Client.app в качестве элемента входа в систему после перезапуска, а также делает vpn в общая дисфункциональная.

Кто-нибудь нашел решение?

Эта же тема обсуждается на форуме Cisco:

AnyConnect Secure Mobility - отключение автоматического запуска при входе в систему

Принятое решение - установить AutoConnectOnStart к false в "XML-профиле", расположенном по адресу /opt/cisco/anyconnect/profile/ .

Привет habr! В данной заметке хотел бы обсудить тему пересечения адресных пространств при предоставлении доступа удалённым пользователям. Буду рассматривать удалённый доступ средствами VPN-клиента Cisco AnyConnect. В качестве VPN-концентратора рассмотрим Cisco ASA. Примеры, описываемые в этой статье, были сконфигурированы на ASA5505 с версией программного обеспечения 9.1(6)6. Используемая версия клиента Anyconnect – 4.1. В качестве подключаемых по VPN клиентских устройств использовались персональные компьютеры с ОС Windows 7 и 8.1.

У многих сотрудников, желающих работать удалённо, для подключения к Интернет дома используются SOHO-маршрутизаторы, и очень часто маршрутизаторы установлены с заводскими настройками. А, как известно, в подавляющем большинстве случаев заводские настройки предполагают LAN-подсеть 192.168.0.0/24 или 192.168.1.0/24. Как показывает практика, вероятность наличия в центральном офисе (далее ЦО) компании сетей 192.168.0.0/24 и 192.168.1.0/24 велика. Получается пересечение адресных пространств. В данной заметке рассмотрю три варианта настроек подключений к ЦО через AnyConnect, выделю плюсы и минусы каждого варианта и опишу, как будет работать доступ в случае пересечении адресных пространств.

Первый вариант – самый простой. Заключается в отказе от Split tunneling (как мы помним Split tunneling позволяет указать, какой трафик нужно заворачивать в туннель, а какой не нужно). В данном случае абсолютно весь трафик заворачивается в VPN туннель. Данное поведение настраивается директивой split-tunnel-policy tunnelall в групповой политике VPN-подключения. При отключенном Split tunneling во время установления соединения из таблицы маршрутизации подключаемого устройства исчезает маршрут в локальную сеть и появляется новый маршрут по умолчанию с лучшей метрикой. Ниже примеры вывода route print windows-компьютера до установленного VPN-соединения и после подключения:

При этом, выход в Интернет для подключаемого устройства мы можем организовать только через Интернет-канал офиса, к которому пользователь и подключился. Заметим, при настроенном выходе в Интернет через ЦО, канал будет утилизироваться трафиком удалённого пользователя вдвое больше.

Для настройки Интернет доступа для удалённых подключений на Cisco ASA достаточно соблюсти два нюанса. Первый нюанс – корректно настроить dynamic nat|pat для пула адресов, выдаваемых AnyConnect. Пример настройки nat:

Второй нюанс – не забыть включить опцию same-security-traffic permit intra-interface.
Данная опция позволяет пакетам уходить с того же интерфейса, на который трафик был получен.

Простота настройки;
Единое поведение для всех удалённых пользователей вне зависимости от сетевых настроек подключаемого устройства.

Необходимость настройки Интернет доступа для подключаемых пользователей через Интернет канал ЦО, и, как следствие, двойная утилизация канала ЦО Интернет-трафиком удалённого пользователя;
Подключаемое устройство теряет доступ к собственной локальной сети. Например, сетевой принтер или сетевое хранилище в локальной сети становятся недоступны для пользователя во время сессии AnyConnect.

Второй вариант – использование политик Split tunneling. Политики Split tunneling бывают двух видов: Split Include и Split Exclude. В первом случае необходимо указать, какие сети нужно туннелировать, во втором – наоборот, указывается, какие сети не нужно заворачивать в туннель.

По нашему опыту Split Include используется наиболее часто. В этом случае необходимо настроить список доступа, который будет определять, какие именно сети нужно туннелировать. Пример настройки:

В случае пересечения адресных пространств удалённый пользователь попросту теряет доступ к своей локальной сети. То есть, если у пользователя локальная сеть 192.168.0.0/24 или 192.168.1.0/24, трафик к хостам данных сетей будет заворачиваться в туннель. При этом, Интернет-доступ для удалённого пользователя останется через локального Интернет-провайдера. По нашему опыту данная настройка устраивает пользователей в большинстве случаев.

Split Tunneling вида Split Exclude, наоборот, позволяет удалённым пользователям сохранить доступ к собственной локальной сети в любом случае. Безусловно, в случае пересечения адресных пространств доступ в конфликтную сеть ЦО работать не будет. Ниже приведём пример настройки Split Exclude. В список доступа в этом случае будем включать сети, которые не нужно туннелировать. В примере мы не будем туннелировать диапазоны публичных адресов (это обеспечит выход в Интернет с использованием локального Интернет-провайдера), а также не будем туннелировать сеть вида 0.0.0.0/255.255.255.255, описывающую в настройках ASA локальную сеть клиента. Запись сети 0.0.0.0/255.255.255.255 помогает достичь универсальности: не зависимо от того, какая именно сеть у пользователя является локальной, доступ к ней всегда будет работать.

Однако, для того, чтобы доступ пользователя в собственную локальную сеть работал, нужно не забыть ещё один нюанс. В настройках клиента Anyconnect в явном виде должна быть указана опция Allow local (LAN) access:

Эту опцию можно выставлять централизованно в настройках профиля клиента Anyconnect на Cisco ASA:

Выход в Интернет можно настроить через локального провайдера. Здесь же хочется оговориться: для обеспечения максимального уровня безопасности рекомендуется организовывать выход в Интернет удалённых пользователей всё же через корпоративные шлюзы, мсэ и web-прокси серверы. Но на практике, данным требованием многие пренебрегают;
Для пользователей, у которых нет пересечения адресных пространств с ЦО, доступ в локальную сеть работает без проблем.

Для пользователей, у которых происходит пересечение адресных пространств с ЦО, теряется доступ в локальную сеть. Split Exclude помогает избежать потери доступа в локальную сеть, но в этом случае будет утерян доступ в конфликтную сеть ЦО.

Предположим, наша задача организовать доступ таким образом, чтобы даже у пользователей, имеющих пересечение адресного пространства, всегда работал доступ как в конфликтную сеть ЦО, так и в собственную локальную сеть. Для этого нам потребуется транслировать конфликтную сеть ЦО в другую сеть для удалённых пользователей. Например, конфликтная сеть 192.168.1.0/24. Настроим трансляцию всей сети 192.168.1.0/24 в некоторую другую сеть 192.168.25.0/24. Тогда удалённые пользователи, желающие подключиться к хосту в ЦО с адресом, например, 192.168.1.10, должны будут использовать для подключения транслированный адрес 192.168.25.10. На ASA описываемую конструкцию можно настроить с помощью правил twice NAT следующим образом:

Конечно, работать с IP адресами для конечных пользователей не удобно. Тем более в описываемом случае придётся помнить, что чтобы попасть на хост 192.168.1.10, нужно использовать адрес 192.168.25.10 (то есть приходится запоминать уже два IP-адреса). На помощь приходит DNS и функция DNS doctoring на ASA. DNS doctoring позволяет изменять IP-адрес в DNS-ответах в соответствии с правилами NAT. Пример работы DNS Doctoring представлен на рисунке ниже:

Замечание 1: для использования функции DNS doctoring на ASA должны быть включена инспекция DNS:

Замечание 2: для использования функции DNS doctoring подключаемый по VPN клиент должен использовать внутренний корпоративный DNS-сервер (находящийся за ASA).

На ASA при настройке DNS doctoring есть нюанс. DNS doctoring не всегда можно настроить в правиле Twice NAT. Опция dns в правиле NAT становится не доступна, как только после source static появляется директива destination static:

Данное поведение задокументировано на сайте Cisco.

Если мы не будем использовать destination static, конфликтная сеть ЦО 192.168.1.0/24 будет транслироваться в новую сеть 192.168.25.0/24 всегда, а не только для удалённых сотрудников. Это поведение не приемлемо. Чтобы этого не происходило, мы должны поставить правило трансляции конфликтной сети в конец правил NAT. При этом вышестоящие правила трансляции, касающиеся конфликтной сети, мы должны модернизировать таким образом, чтобы правила срабатывали всегда, кроме случая обмена данными с удалёнными пользователями. В данном случае порядок правил NAT имеет решающее значение, поэтому, очень кратко напомню порядок правил NAT для ASA версии IOS 8.3 и выше. Правила NAT выполняются в порядке трёх секций:

Секция 1. Twice NAT в порядке конфигурации

Static
Dynamic
- Cначала, где меньше IP адресов для трансляции
- Сначала младшие номера IP
- По алфавиту (по названию Obj gr)

Приведу пример. Для организации выхода в Интернет из конфликтной сети ЦО, как правило, требуется наличие соответствующего правила dynamic nat|pat. Если dynamic nat|pat настроено с помощью Network Object Nat, придётся модифицировать настройку к виду Twice NAT. Это необходимо, чтобы иметь возможность добавить в правило директиву destination static (получаем так называемый Policy NAT). Правило dynamic pat нужно поставить выше правила nat для удалённых пользователей. Это можно сделать разными способами: указать позицию правил в явном виде в секции 1, перенести правило nat для удалённых пользователей в секцию 3 after auto и т.д. Пример настройки:

Если мы используем Split tunneling вида Split Include, не забываем в соответствующем списке доступа указать именно транслированную сеть net-25:

Все преимущества использования Split Tunneling присущи третьему варианту;
Для пользователей, у которых происходит пересечение адресных пространств с ЦО появляется возможность получить доступ в конфликтную сеть ЦО, сохраняя при этом доступ к собственной локальной сети.

Сложность конфигурирования. При использовании DNS doctoring необходимо модифицировать правила трансляции адресов, касающиеся конфликтных сетей.

без Split Tunneling;
с использованием Split Tunneling двух видов: Split Include и Split Exclude;
с использованием Split Tunneling совместно с правилами NAT и опцией DNS doctoring.

Жду Ваши комментарии. Может быть, кто-то сможет поделиться своим опытом или другим способом решения проблемы пересечения адресных пространств.

Сейчас многие люди переходят на удаленную работу. Среди прочего часто используется программа Cisco Anyconnect. И многие, пользуясь инструкцией своих администраторов, спокойно запускают эту мерзость на своих домашних устройствах. Вот зря. Во-первых, спокойно зря, во-вторых зря запускают.

У меня этот вид доступа был уже очень давно. И в один прекрасный момент он вдруг перестал работать. Подчеркну, что у меня Linux, что меня и спасло. Выяснилось, что в параметрах сервера включили CSD Host Scan.

С сайта Cisco описание

Using the secure desktop manager tool in the Adaptive Security Device Manager (ASDM), you can create a prelogin policy which evaluates the operating system, anti-virus, anti-spyware, and firewall software Host Scan identifies. Based on the result of the prelogin policy’s evaluation, you can control which hosts are allowed to create a remote access connection to the security appliance.

The Host Scan support chart contains the product name and version information for the anti-virus, anti-spyware, and firewall applications you use in your prelogin policies. We deliver Host Scan and the Host Scan support chart, as well as other components, in the Host Scan package.

Расшифровываю: когда вы подключаетесь к VPN, к вам на устройство загружается троян, который проверяет его (или делает, что угодно другое) и сообщает по сети что-то на сервер VPN. Поскольку для мака или для Linux наши . умельцы из безопасности троянов не завезли, я и обламывался.

Ради интереса поставил в виртуалку Anyconnect

Антивирусы эту штуку не детектят. Зато в man openconnect, например, именно и называют ее трояном, что по сути так и есть

Что мне в этой гадости не нравится, помимо того, что я в принципе категорически против, чтобы что-то без моего ведома скачивалось хз откуда и запускалось:
1. Это не в составе вашего VPN, а совершенно отдельная хреновина, которая каждый раз при изменении скачивается с сервера VPN. Теоретически администратор сервера VPN может запускать у вас все, что ему угодно.
2. В моем случае софтинка еще и сильно старая, 2016 года. А, например, в 2018 были отзывы сертификатов. Т.е. зависимость от кривых рук администратора сильно напрягает, превращая удаленный доступ в потенциальную дыру.

Всем использующим Cisco AnyConnect настоятельно рекомендую запускать ее в изолированном окружении. Т.е. на отдельном ноуте (выданном на предприятии, например) или в виртуальной среде.

Читайте также: