Перейти к содержимому


Фото
- - - - -

Компонент NetFilter блокирует подключение к Cisco ASDM (javaw.exe)


  • Please log in to reply
23 ответов в этой теме

#21 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 02 Август 2019 - 14:28

 

 

Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:* -- какой будет эффект?

 
К сожалению, не помогает.
Не помогает даже если прописать что-нибудь вроде *.exe:* или *:*.
 
Проблема скорее всего лежит в нюансах взаимодействия Dr.Web netfilter и VPN Cisco AnyConnect.
Потому что я могу инициировать через ASDM подключение к любой подсети, которая доступна мне напрямую без AnyConnect, но если я настрою AnyConnect на любую другую подсеть, то и в ней сразу же начинается такая же проблема.

 

Можно ли посмотреть отчёт с прописанным этим Попробуйте исключение *.exe «По указанным IP-адресам и портам» и задать 10.52.0.0/16:*

Ну и с указанием времени...

 

 

Да, конечно, вот

Запускал в 13:52:38 и в 13:53:06

Прикрепленные файлы:



#22 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 329 Сообщений:

Отправлено 06 Август 2019 - 12:51

Как я понимаю, при попытке подключения идёт попытка установления VPN-соединения?

 

Системный журнал забит ошибками "Cisco AnyConnect Secure Mobility Client"

$ grep -a ErrorLogEntry SystemInfo.xml | grep -ac 20190802105
252
$ grep -a ErrorLogEntry SystemInfo.xml |grep -a 20190802105 | grep -ac "Cisco AnyConnect Secure Mobility Client"
252

CPP-ошибки связанные с сертификатами и TLS/SSL.

Например:
 

<ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CVpnParam::SetCertificateInfoFile: .\vpnparam.cppLine: 1096Invoked Function: CCertificateInfoTlv::CopyReturn Code: -23199733 (0xFE9E000B)Description: CERTIFICATEINFO_ERROR_NO_DATA:No certificate data was found" />
                <ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::AssignFile: .\TLV\CertificateInfoTlv.cppLine: 87Invoked Function: CCertificateInfoTlv::SerializeReturn Code: -23199733 (0xFE9E000B)Description: CERTIFICATEINFO_ERROR_NO_DATA:No certificate data was found" />
                <ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979777" EventCode="1" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::SerializeFile: .\TLV\CertificateInfoTlv.cppLine: 523Data to serialize is empty" />
                <ErrorLogEntry TimeGenerated="20190802105156.340052-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CStartParameters::GetCertificateInfoFile: .\TLV\startparameters.cppLine: 1293Invoked Function: CStartParameters::GetInfoByTypeReturn Code: -32440304 (0xFE110010)Description: TLV_ERROR_NO_ATTRIBUTE" />

...

<ErrorLogEntry TimeGenerated="20190802105156.327053-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpndownloader" Category="1" EventIdentifier="603979777" EventCode="1" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::SerializeFile: ..\Common\TLV\CertificateInfoTlv.cppLine: 523Data to serialize is empty" />
                <ErrorLogEntry TimeGenerated="20190802105156.326051-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpndownloader" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: COpaqueDataAccessorBase::getVariableDataFile: c:\temp\build\thehoff\ElGreco0.38999667341\ElGreco\vpn\Common\Utility/OpaqueDataAccessor.hLine: 257Invoked Function: CAbstractDataSerializer::getVariableDataReturn Code: -32440304 (0xFE110010)Description: TLV_ERROR_NO_ATTRIBUTE" />

...

<ErrorLogEntry TimeGenerated="20190802105143.717063-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CAutoProxy::GetAutoProxyStringsFile: .\Proxy\AutoProxy.cppLine: 139Invoked Function: WinHttpGetProxyForUrlReturn Code: 12180 (0x00002F94)Description: WINDOWS_ERROR_CODESG URL https://kzdl-vpn.kidzaniausa.com:443"/>

 

 

И т.д.. По логу спайдергварда (spiderg3.log) видно, что в это время cisco vpn агент мутит с hosts и вычитывает какие-то свои настройки

Возможно, эти ошибки для него не критичны. Это можно попробовать выяснить в логах самого впн агента:

C:\users\v.chigorevskiy\.asdm\log\asdm-idm-log-2019-08-02-13-52-22.txt

C:\users\v.chigorevskiy\.asdm\log\asdm-idm-log-2019-08-02-13-52-49.txt

...

то есть по каждой попытке там отд. текстовый файл.

 

По логу нетфильтра, всегда происходит дисконнект через 2 сек. после старта у vpnui:

[02/08/2019 13:51:43 00004040] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (PID=13628, user S-1-5-21-2184488982
-3301363868-1416229860-1122): 52710 -> ( 52711 -> 52712 ) -> 12.221.103.210:443
[02/08/2019 13:51:43 00004040] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:51:43 00004040] <DEBUG:1> SSL DETECTED
[02/08/2019 13:51:45 00004040] <DEBUG:1> Disconnecting.
 

И у vpnagent'а:

[02/08/2019 13:19:40 0000425c] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (PID=4036, user S-1-5-18): 49460
-> ( 49461 -> 49462 ) -> 12.221.103.210:443
[02/08/2019 13:19:40 0000425c] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:19:40 0000425c] <DEBUG:1> SSL DETECTED
[02/08/2019 13:19:42 0000425c] <DEBUG:1> Disconnecting.
 

Разок vpnagent' "застрял" и не отвалился через 2 секунды:

[02/08/2019 13:51:56 00003874] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (PID=4036, user S-1-5-18): 52721
-> ( 52722 -> 52723 ) -> 12.221.103.210:443
[02/08/2019 13:51:56 00003874] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:51:56 00003874] <DEBUG:1> SSL DETECTED
 

Не особо видно по логам, как тут нетфильтр мешает. Если только влезает в SSL со своими сертификатами.

 

Может, на самом деле, при отсутствии дрвеб впн поднимает 'kaspersky secure connection'? А cisco так и не работает?

\Device\HarddiskVolume4\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksde.exe

 Он вполне активен и работает, судя по всему.

 

В общем, я бы предложил пару вариантов для локализации проблемы:

0. Сбросить и вообще выключить пакетный фильтр фаерволла, для начала.

1. Исключить из проверки трафика vpnagent и vpnui

2. Вообще, по симптомам это больше похоже на проблемы маршрутизации. При любом (пере)подключении VPN-соединения непременно меняется таблица маршрутизации.

Хорошо бы выяснить, какой netstat -r при успешном и неуспешных коннектах.


(exit 0)


#23 mailwin33

mailwin33

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 08 Август 2019 - 10:59

Как я понимаю, при попытке подключения идёт попытка установления VPN-соединения?

 

Системный журнал забит ошибками "Cisco AnyConnect Secure Mobility Client"

$ grep -a ErrorLogEntry SystemInfo.xml | grep -ac 20190802105
252
$ grep -a ErrorLogEntry SystemInfo.xml |grep -a 20190802105 | grep -ac "Cisco AnyConnect Secure Mobility Client"
252

CPP-ошибки связанные с сертификатами и TLS/SSL.

Например:
 

<ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CVpnParam::SetCertificateInfoFile: .\vpnparam.cppLine: 1096Invoked Function: CCertificateInfoTlv::CopyReturn Code: -23199733 (0xFE9E000B)Description: CERTIFICATEINFO_ERROR_NO_DATA:No certificate data was found" />
                <ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::AssignFile: .\TLV\CertificateInfoTlv.cppLine: 87Invoked Function: CCertificateInfoTlv::SerializeReturn Code: -23199733 (0xFE9E000B)Description: CERTIFICATEINFO_ERROR_NO_DATA:No certificate data was found" />
                <ErrorLogEntry TimeGenerated="20190802105156.358056-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979777" EventCode="1" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::SerializeFile: .\TLV\CertificateInfoTlv.cppLine: 523Data to serialize is empty" />
                <ErrorLogEntry TimeGenerated="20190802105156.340052-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CStartParameters::GetCertificateInfoFile: .\TLV\startparameters.cppLine: 1293Invoked Function: CStartParameters::GetInfoByTypeReturn Code: -32440304 (0xFE110010)Description: TLV_ERROR_NO_ATTRIBUTE" />

...

<ErrorLogEntry TimeGenerated="20190802105156.327053-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpndownloader" Category="1" EventIdentifier="603979777" EventCode="1" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CCertificateInfoTlv::SerializeFile: ..\Common\TLV\CertificateInfoTlv.cppLine: 523Data to serialize is empty" />
                <ErrorLogEntry TimeGenerated="20190802105156.326051-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpndownloader" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: COpaqueDataAccessorBase::getVariableDataFile: c:\temp\build\thehoff\ElGreco0.38999667341\ElGreco\vpn\Common\Utility/OpaqueDataAccessor.hLine: 257Invoked Function: CAbstractDataSerializer::getVariableDataReturn Code: -32440304 (0xFE110010)Description: TLV_ERROR_NO_ATTRIBUTE" />

...

<ErrorLogEntry TimeGenerated="20190802105143.717063-000" Logfile="Cisco AnyConnect Secure Mobility Client" SourceName="acvpnagent" Category="1" EventIdentifier="603979778" EventCode="2" ComputerName="WS-MSK-IT-101.kidzaniausa.com" Message="Function: CAutoProxy::GetAutoProxyStringsFile: .\Proxy\AutoProxy.cppLine: 139Invoked Function: WinHttpGetProxyForUrlReturn Code: 12180 (0x00002F94)Description: WINDOWS_ERROR_CODESG URL https://kzdl-vpn.kidzaniausa.com:443"/>

 

 

И т.д.. По логу спайдергварда (spiderg3.log) видно, что в это время cisco vpn агент мутит с hosts и вычитывает какие-то свои настройки

Возможно, эти ошибки для него не критичны. Это можно попробовать выяснить в логах самого впн агента:

C:\users\v.chigorevskiy\.asdm\log\asdm-idm-log-2019-08-02-13-52-22.txt

C:\users\v.chigorevskiy\.asdm\log\asdm-idm-log-2019-08-02-13-52-49.txt

...

то есть по каждой попытке там отд. текстовый файл.

 

По логу нетфильтра, всегда происходит дисконнект через 2 сек. после старта у vpnui:

[02/08/2019 13:51:43 00004040] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe (PID=13628, user S-1-5-21-2184488982
-3301363868-1416229860-1122): 52710 -> ( 52711 -> 52712 ) -> 12.221.103.210:443
[02/08/2019 13:51:43 00004040] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:51:43 00004040] <DEBUG:1> SSL DETECTED
[02/08/2019 13:51:45 00004040] <DEBUG:1> Disconnecting.
 

И у vpnagent'а:

[02/08/2019 13:19:40 0000425c] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (PID=4036, user S-1-5-18): 49460
-> ( 49461 -> 49462 ) -> 12.221.103.210:443
[02/08/2019 13:19:40 0000425c] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:19:40 0000425c] <DEBUG:1> SSL DETECTED
[02/08/2019 13:19:42 0000425c] <DEBUG:1> Disconnecting.
 

Разок vpnagent' "застрял" и не отвалился через 2 секунды:

[02/08/2019 13:51:56 00003874] <DEBUG:1> Redirection: \Device\HarddiskVolume4\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe (PID=4036, user S-1-5-18): 52721
-> ( 52722 -> 52723 ) -> 12.221.103.210:443
[02/08/2019 13:51:56 00003874] <DEBUG:1> Trying to connect to: 12.221.103.210:443
[02/08/2019 13:51:56 00003874] <DEBUG:1> SSL DETECTED
 

Не особо видно по логам, как тут нетфильтр мешает. Если только влезает в SSL со своими сертификатами.

 

Может, на самом деле, при отсутствии дрвеб впн поднимает 'kaspersky secure connection'? А cisco так и не работает?

\Device\HarddiskVolume4\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 3.0\ksde.exe

 Он вполне активен и работает, судя по всему.

 

В общем, я бы предложил пару вариантов для локализации проблемы:

0. Сбросить и вообще выключить пакетный фильтр фаерволла, для начала.

1. Исключить из проверки трафика vpnagent и vpnui

2. Вообще, по симптомам это больше похоже на проблемы маршрутизации. При любом (пере)подключении VPN-соединения непременно меняется таблица маршрутизации.

Хорошо бы выяснить, какой netstat -r при успешном и неуспешных коннектах.

 

Здравствуйте, Кирилл.

Большое спасибо за подробный ответ.

 

Да, действительно в логах много ошибок SSL так как на самом устройстве не установлен сертификат, и при попытке подключения появляется предупреждение о его валидности (см. скриншот)

Но на само подключение это не влияет,  а если netfilter запущен, то подключение обрубается еще даже до этого шага.

 

Сообщения об изменении файла hosts скорее всего потому, что это я сам пробовал прописать туда это имя, чтобы проверить решит ли это проблему. К сожалению, не решило, и сейчас я его оттуда удалил.

 

Насчет Вашего вопроса про установку соединения VPN: в процессе подключения оно не устанавливается.

Я заранее подключаю его через Cisco AnyConnect, чтобы получить доступ к сети 10.52.

Kaspersky Secure Connection просто запущен и висит в трее, так как иногда я его использую для изменения своего внешнего IP. В другое время он просто запущен, но никуда не подключен и в процессе не участвует.

Его закрытие, к сожалению, не устраняет проблему.

 

Насчет дальнейших шагов:

 

0. Отключение netfilter через интерфейс Доктора Веб никак не помогает. Единственный способ сделать так, чтобы всё заработало - это отключить Self-Protection, перевести его service в Disabled, а потом прибить процесс netfilter.

 Как только процесс завершается, подключение сразу проходит без проблем.

Сейчас я именно так и делаю каждый раз, когда мне нужно воспользоваться ASDM.

 

1. Добавил эти исключение, перезагрузил сервисы, но это не помогло.

На самом деле, вообще никакие исключения не помогают и единственный способ - это то, что я указал в пункте 0.

 

2. Такой проблемы точно нет, так как блокируется только подключение по ASDM. То есть, если я попробую открыть тот же самый адрес (https://10.52.11.1) через браузер, то все открывается без проблем. Все остальные адреса этой сети также доступны.

 

Если нужно, то могу снова собрать логи, но уже с прибитым процессом netfilter.

 

Еще раз спасибо за помощь.

Прикрепленные файлы:



#24 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 329 Сообщений:

Отправлено 08 Август 2019 - 15:32

Добрый день, mailwin33

 

В пункте <<0>> я вёл речь про включенный пакетный фильтр фаерволла (брандмауэра) -- это другой наш компонент, который у вас включён и работает.

Причём, даже несмотря на то, что вы локализуете проблему в нетфильтре (это не фаерволл), я пока не уверен, что тут не играет роль сочетание работы этих двух разных компонентов.

 

Я видел у вас установлен wireshark. Думаю, что пришла пора его расчехлить =)

Но, поскольку дампы трафика -- дело келейное, то здесь их публиковать не стоит. Или в личку или через обращение в службу техподдержки.

Дампов потребуется два:

1. Когда всё работает и подключается.

2. Когда не подключается (блокируется).

При этом, крайне важно, точно сообщить -- к какому адресу (в идеале и порты) и от какого адреса ожидается подключение. В п. 1, соответственно, они тоже должны быть.

Кстати, можете, в принципе, через фильтр в ваершарке сохранить дамп (важно, чтобы он был в формате pcap, а не конвертированный) обмена только между требуемыми хостами. Только фильтровать лучше не на уровне IP, а на уровне MAC-адресов машин, чтобы сохранить весь обмен между ними. При условии, конечно, что там не окажется задействована какая-либо сторонняя проверка (через другие хосты).

Фильтр, в этом случае, выглядит примерно как:

eth.addr==from_mac_addr&&eth.addr==to_mac_addr

 

 

например:

eth.addr==20:0b:c7:3c:89:36&&eth.addr==00:50:56:98:5a:87

 


(exit 0)



Читают тему: 2

0 пользователей, 2 гостей, 0 скрытых