AnyConnect Secure Mobility-Verbindungsfehler: "Der VPN-Client konnte keine IP-Filterung einrichten."

Download-Optionen

  • PDF     (468.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (305.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (257.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. Juli 2013
Dokument-ID:116347

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie vorgehen müssen, wenn Sie auf die folgende Benutzermeldung des Cisco AnyConnect Secure Mobility Client VPN stoßen:

The VPN client was unable to setup IP filtering.
A VPN connection will not be established.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument beziehen sich ausschließlich auf die Betriebssysteme Windows Vista und Windows 7.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

Der BFE-Dienst (Base Filtering Engine)

BFE ist ein Dienst, der Firewall- und IPsec-Richtlinien (Internet Protocol Security) verwaltet und Filterfunktionen im Benutzermodus implementiert. Die Sicherheit des Systems wird erheblich reduziert, wenn Sie den BFE-Dienst beenden oder deaktivieren. Außerdem führt es zu unvorhersehbarem Verhalten bei IPsec-Management- und Firewall-Anwendungen.

Diese Systemkomponenten hängen vom BFE-Dienst ab:

  • Internet Key Exchange (IKE) und Authenticated Internet Protocol (AuthIP)-IPsec-Schlüsselmodule
  • Gemeinsame Nutzung der Internetverbindung (ICS)
  • IPsec-Richtlinien-Agent
  • Routing und RAS
  • Windows-Firewall

Der AnyConnect Secure Mobility Client nimmt sowohl Änderungen am Routing als auch am Remote-Zugriff am Host-Rechner vor. IKEv2 hängt auch von den IKE-Modulen ab. Wenn der BFE-Dienst beendet wird, kann der AnyConnect Secure Mobility Client nicht installiert oder zum Herstellen einer SSL-Verbindung (Secure Sockets Layer) verwendet werden.

Es gibt Bedrohungen im aktiven Umlauf, die den BFE-Dienst als ersten Schritt im Infektionsprozess deaktivieren und entfernen.

Win32/Sirefef-Trojaner (ZeroAccess)

Der Win32/Sirefef (ZeroAccess)-Trojaner ist eine aus mehreren Komponenten bestehende Malware-Familie, die Stealth verwendet, um seine Präsenz auf Ihrem Computer zu verbergen. Diese Bedrohung bietet Angreifern vollständigen Zugriff auf Ihr System. Aufgrund ihrer Beschaffenheit können die Nutzlasten von Infektion zu Infektion stark variieren, obwohl das gängige Verhalten Folgendes umfasst:

  • Herunterladen und Ausführen beliebiger Dateien.
  • Kontakt zu Remote-Hosts.
  • Deaktivieren von Sicherheitsfunktionen.

Es gibt keine häufigen Symptome, die mit dieser Bedrohung verbunden sind. Warnmeldungen von installierter Antivirus-Software sind möglicherweise die einzigen Symptome.

Der Win32/Sirefef-Trojaner (ZeroAccess) versucht, diese sicherheitsrelevanten Dienste zu stoppen und zu löschen:

  • Windows Defender-Dienst (winprotect)
  • IP-Hilfsdienst (iphlpsvc)
  • Windows-Sicherheitscenterdienst (wscsvc)
  • Windows-Firewalldienst (mpssvc)
  • Basisfilter-Moduldienst (BFE)

Vorsicht: Der Win32/Sirefef (ZeroAccess)-Trojaner ist eine gefährliche Bedrohung, die fortschrittliche Tarnkappentechniken verwendet, um seine Erkennung und Entfernung zu verhindern. Als Folge einer Infektion mit dieser Bedrohung müssen Sie möglicherweise einige Windows-Sicherheitsfunktionen reparieren und neu konfigurieren.

Problem

Folgende Szenarien sind möglich:

  • Der Benutzer kann den AnyConnect Secure Mobility Client nicht installieren und erhält die Fehlermeldung "Der VPN-Client konnte keine IP-Filterung einrichten. Es wird keine VPN-Verbindung hergestellt."

  • Der AnyConnect Secure Mobility Client funktionierte ursprünglich einwandfrei. Der Endbenutzer kann jedoch keine Verbindung mehr herstellen und erhält die Fehlermeldung "AnyConnect konnte keine Verbindung zum angegebenen sicheren Gateway herstellen. Bitte versuchen Sie es erneut."

Lösung

Wenn diese Fehlermeldungen angezeigt werden, muss überprüft werden, ob der BFE tatsächlich deaktiviert ist/fehlt oder ob der Client ihn nicht erkennen kann. Führen Sie zur Fehlerbehebung die folgenden Schritte aus:

  1. Rufen Sie den Dienststeuerungs-Manager (SCM) über das Windows-Menü auf:

  2. Suchen Sie nach dem BFE-Dienst, um dessen Vorhandensein oder Abwesenheit zu bestätigen.

Wenn der Dienst funktioniert, wird der Status als Gestartet angezeigt. Wenn diese Spalte noch etwas Anderes enthält, liegt ein Problem mit dem Dienst vor. Wenn der Status jedoch als gestartet angezeigt wird, kann der Client eindeutig nicht mit dem Dienst kommunizieren, und es besteht die Möglichkeit, dass ein Fehler vorliegt.

Wenn der Dienst deaktiviert oder nicht gestartet wurde, können folgende Gründe vorliegen:

  • Wie zuvor erläutert, deaktiviert Malware diesen Dienst in einem ersten Schritt.
  • Registrierungsfehler auf dem Computer.

Reparaturverfahren

Der erste Schritt besteht darin, Ihr System mit einer Antivirus-Software zu scannen und zu desinfizieren. Sie sollten den BFE-Dienst nicht wiederherstellen, wenn er von dem Win32/Sirefef (ZeroAccess)-Trojaner wieder gelöscht wird. Laden Sie das ESET SirefefCleaner Tool von dieser Webseite herunter und speichern Sie es auf Ihrem Desktop.

In diesem Video wird das Verfahren zum Entfernen des Win32/Sirefef-Trojaners (ZeroAccess) erläutert:.

Wie entferne ich Win32/Sirefef (ZeroAccess) Trojaner?

Nachdem Sie den Win32/Sirefef (ZeroAccess)-Trojaner entfernt haben, überprüfen Sie, ob der BFE-Dienst normal gestartet und aktiviert werden kann. Gehen Sie dazu folgendermaßen vor:

  1. Starten Sie SCM, und wählen Sie die Registerkarte Erweitert anstelle von Standard aus.
  2. Wählen Sie den BFE-Dienst aus.
  3. Wählen Sie links die Option Start.

Vorsicht: Es empfiehlt sich, Ihre Dateien zu sichern, bevor Sie diesen Vorgang durchführen. Alle Informationen in diesem Artikel werden ohne ausdrückliche oder stillschweigende Gewährleistung hinsichtlich ihrer Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck bereitgestellt.

Wenn dieses Verfahren nicht funktioniert, führen Sie die folgenden Schritte aus:

  1. Laden Sie das Dienstprogramm ESET ServicesRepair von dieser Webseite herunter und speichern Sie es auf Ihrem Desktop.
  2. Führen Sie das Dienstprogramm ESET ServicesRepair aus.

  3. Befolgen Sie die Anweisungen, um den BFE-Service zu reparieren.

  4. Starten Sie den Computer nach Abschluss des Dienstprogramms neu.

  5. Sobald Ihr Computer neu startet, installieren oder führen Sie den AnyConnect Secure Mobility Client erneut aus.

Hinweis: Tests haben gezeigt, dass dieses Tool in den meisten Fällen hilft, wenn die Registrierungsdateien beschädigt oder Dienste beschädigt sind. Wenn Sie also auf diese Fehlermeldungen stoßen, erweist sich dieses Tool auch als nützlich:
- Der VPN-Client-Agent konnte das Interprocess Communication Depot nicht erstellen.
- Der VPN-Agent-Dienst antwortet nicht. Starten Sie diese Anwendung nach einer Minute neu.
- Der Cisco AnyConnect Secure Mobility Agent-Dienst auf dem lokalen Computer wurde gestartet und beendet. Einige Dienste werden automatisch beendet, wenn sie nicht von anderen Diensten oder Programmen verwendet werden.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
26-Jun-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.