J’avais un probleme de VPN anyconnect, ca passait – a priori – en WebVPN (via l’url de mon portail) mais pas du tout en anyconnect. Login Fail un truc comme ca.
Il a fallu faire un peu de debug. Ca me gonflait de faire de la CLI avec des conditions etc, j’ai actuellement sur mon ASA plus de 550 connexions VPN, ca aurait craché un max et meme en limitant a du webvpn ou du svc (annyconnect) j’ai un max de lignes.
Je voulais donc pouvoir l’envoyer sur mon syslog pour checker les logs tranquillement plus tard.
Pour activer les log, lancer asdm naviguer vers Configuration > Device Management > Logging > Event Lists
Pour ne pas se polluer les log qu’on recevra on crée une liste pour ne recevoir que ce qui nous interesse, a savoir les log d’authentification, de connexion clientless, de connexion anyconnect, et de connexion SSL de manière générale.
Pour la severity vous mettez ce que vous voulez, j’ai précisé Informational car sur mon syslog je ne log rien dans Informational (uniquement a partir de Warning) je ne serai donc pas pollué par des précédents logs (J’utilise des filtres sur mon serveur syslog).
Si on souhaite le faire en CLI, il suffit de rentrer ces commandes:
logging list vpn-debug level Informational class svc
logging list vpn-debug level Informational class ssl
logging list vpn-debug level Informational class webvpn
logging list vpn-debug level Informational class auth
On va maintenant appliquer notre Liste au niveau de Logging Filters
J’ai déjà un serveur syslog qui récupère tout a partir du niveau d’alerte Warning, on va le modifier pour ne recevoir que ce qui est récupéré via notre liste vpn-debug.
Si on avait voulu l’appliquer en CLI:
logging trap vpn-debug
Sur mon serveur syslog je récupere donc ca (enfin avec des infos non tronquées quoi):
Dans le fichier de log je retrouve via l’ip publique de mon client (que je connais) les bonnes lignes.
J’aurais egalement pu retrouver les bons log via le login de connexion (toto). J’ai épuré le début de la ligne de log qui ne nous est pas d’une grande utilité (mis a par l’horodatage).
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13374 for TLSv1 session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.52/13374
%ASA-6-113004: AAA user authentication Successful : server = RADIUS-SERVEUR : user = toto
%ASA-6-113003: AAA group policy for user toto is being set to GroupPolicy-Toto-Acces
%ASA-6-113011: AAA retrieved user specific group policy (GroupPolicy-Toto-Acces) for user = toto
%ASA-6-113009: AAA retrieved default group policy (GroupPolicy-Toto-Acces) for user = toto
%ASA-6-113008: AAA transaction status ACCEPT : user = toto
%ASA-6-716051: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> Error adding dynamic ACL for user.
%ASA-6-716009: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> WebVPN session not allowed. ACL parse error.
%ASA-6-716002: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> WebVPN session terminated: ACL Parse Error.
On voit qu’il n’y a pas d’erreur au niveau de l’initialisation de la phase SSL, que l’utilisateur toto est bien authentifié, par contre souci au niveau des ACLs descendues, et qui sont liées au groupe (RADIUS) auquel appartient l’utilisateur. Au niveau du message d’erreur on ne voit pas le mot clé « svc » qui est le type de connexion qu’on cherche a obtenir, cette phase ne se fait qu’apres la connexion de type webvpn (qui correspondrait a une utilisation clientless vpn).
Il suffit après de se logguer sur le serveur RADIUS (CS ACS dans ce cas présent), et de vérifier les ACLS descendues. Il y avait une erreur de masque. Une fois ok si je reprends des traces voila ce qui s’affiche dans les log :
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13611 for TLSv1 session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13611
%ASA-6-113004: AAA user authentication Successful : server = RADIUS-SERVEUR : user = toto
%ASA-6-113003: AAA group policy for user toto is being set to GroupPolicy-Toto-Acces
%ASA-6-113011: AAA retrieved user specific group policy (GroupPolicy-Toto-Acces) for user = toto
%ASA-6-113009: AAA retrieved default group policy (GroupPolicy-Toto-Acces) for user = toto
%ASA-6-113008: AAA transaction status ACCEPT : user = toto
%ASA-6-716001: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> WebVPN session started.
%ASA-6-716038: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> Authentication: successful, Session Type: WebVPN.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13612
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13613 for TLSv1 session.
%ASA-6-725003: SSL client outside:217.132.84.101/13613 request to resume previous session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13613
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13614 for TLSv1 session.
%ASA-6-725003: SSL client outside:217.132.84.101/13614 request to resume previous session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13614
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13615 for TLSv1 session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13615
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/13616 for TLSv1 session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/13616
%ASA-6-722022: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> TCP SVC connection established without compression
%ASA-6-725001: Starting SSL handshake with client outside:217.132.84.101/7583 for DTLSv1 session.
%ASA-6-725003: SSL client outside:217.132.84.101/7583 request to resume previous session.
%ASA-6-725002: Device completed SSL handshake with client outside:217.132.84.101/7583
%ASA-6-722022: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> UDP SVC connection established without compression
Pour info quand on termine une connexion:
%ASA-6-725007: SSL session with client outside:217.132.84.101/13615 terminated.
%ASA-6-716002: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> WebVPN session terminated: User Requested.
%ASA-6-725007: SSL session with client outside:217.132.84.101/7583 terminated.
%ASA-6-722023: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> UDP SVC connection terminated without compression
%ASA-6-722023: Group <GroupPolicy-Toto-Acces> User <toto> IP <217.132.84.101> TCP SVC connection terminated without compression
%ASA-6-725007: SSL session with client outside:217.132.84.101/13616 terminated.
Bien sur je l’ai fait via un syslog, j’aurais pu afficher tout ca directement dans les lignes SSH ou dans la console (mais c’était moins fatiguant comme ca)..
