AnyConnect安全移動連線錯誤:「VPN客戶端無法設定IP過濾」

下載選項

  • PDF     (604.8 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (295.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (246.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2013 年 7 月 29 日
文件 ID:116347

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹在輸入此Cisco AnyConnect安全移動客戶端VPN使用者消息時應執行哪些操作:

The VPN client was unable to setup IP filtering.
A VPN connection will not be established.

必要條件

需求

本文件沒有特定需求。

採用元件

本文檔中的資訊僅基於Windows Vista和Windows 7作業系統。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

背景資訊

基礎過濾引擎(BFE)服務

BFE是一項服務,用於管理防火牆和網際網路協定安全(IPsec)策略並實施使用者模式過濾。如果停止或停用BFE服務,系統的安全性會大幅降低。它還導致IPsec管理和防火牆應用中出現不可預知的行為。

以下系統元件取決於BFE服務:

  • 網際網路金鑰交換(IKE)和驗證網際網路通訊協定(AuthIP) IPsec金鑰模組
  • 網際網路連線共用(ICS)
  • IPsec原則代理
  • 路由和遠端訪問
  • Windows防火牆

AnyConnect安全移動客戶端對主機進行路由和遠端訪問更改。IKEv2還依賴於IKE模組。這意味著,如果BFE服務停止,將無法安裝或使用AnyConnect安全移動客戶端來建立安全套接字層(SSL)連線。

活動循環中存在一些威脅,這些威脅會停用和刪除BFE服務,這是感染過程中的第一步。

Win32/Sirefef (ZeroAccess)特洛伊木馬

Win32/Sirefef (ZeroAccess)特洛伊木馬病毒是一個多元件惡意軟體系列,它使用隱藏功能隱藏其在電腦上的存在。此威脅使攻擊者能夠完全訪問您的系統。由於其性質,負載可能因感染而有很大差異,但常見的行為包括:

  • 下載和執行任意檔案。
  • 遠端主機的聯絡人。
  • 停用安全功能。

沒有與此威脅相關的常見症狀。來自已安裝防病毒軟體的警報通知可能是唯一的症狀。

Win32/Sirefef (ZeroAccess)特洛伊木馬程式嘗試停止和刪除以下與安全相關的服務:

  • Windows Defender Service (windefense)
  • IP協助程式服務(iphlpsvc)
  • Windows安全中心服務(wscsvc)
  • Windows防火牆服務(mpssvc)
  • 基礎篩選引擎服務(bfe)

注意: Win32/Sirefef (ZeroAccess)特洛伊木馬是一種使用高級隱藏技術來阻止其檢測和刪除的危險威脅。由於受到此威脅的感染,您可能需要修復並重新配置某些Windows安全功能。

問題

方案如下:

  • 使用者無法安裝AnyConnect安全移動客戶端,並收到錯誤消息「The VPN client was unable to setup IP filtering.無法建立VPN連線。」

  • AnyConnect安全移動客戶端最初工作正常。但是;終端使用者無法再建立連線,並收到錯誤消息「Anyconnect was not able a connection to the specified secure gateway.請再次嘗試連線。」

解決方案

當出現這些錯誤消息時,請務必確認BFE是否實際被停用/丟失,或者客戶端是否能夠辨識它。若要疑難排解,請完成以下步驟:

  1. 從Windows功能表存取服務控制管理員(SCM):

  2. 搜尋BFE服務以確認其存在與否。

如果服務正常運行,則狀態顯示為已啟動。如果該列中有任何其他內容,則說明該服務存在問題。但是,如果狀態顯示為「已啟動」,則客戶端顯然無法與服務通訊,並且可能存在bug。

如果服務已停用或未啟動,可能的原因包括:

  • 如前所述,惡意軟體會首先停用此服務。
  • 電腦上的登入損毀。

修復程式

第一步是使用防病毒軟體掃描和消毒系統。如果BFE服務將被Win32/Sirefef (ZeroAccess)特洛伊木馬程式再次刪除,則不應恢復該服務。從此網頁下載ESET SirefefCleaner工具,並將其儲存到您的案頭。

此影片介紹刪除Win32/Sirefef (ZeroAccess)特洛伊木馬的程式:。

如何刪除Win32/Sirefef (ZeroAccess)特洛伊木馬程式?

刪除Win32/Sirefef (ZeroAccess)特洛伊木馬程式後,請驗證BFE服務是否可以正常啟動並保持活動狀態。為此:

  1. 啟動SCM並選擇Extended標簽而不是Standard
  2. 選擇BFE服務。
  3. 選擇左側的Start選項。

注意:在嘗試此過程之前備份檔案是一種好的做法。本文中的所有資訊均按原樣提供,不對其準確性、完整性或特定用途的適用性作任何明示或暗示的保證。

如果此程式無法運作,請完成以下步驟:

  1. 從此網頁下載ESET ServicesRepair實用程式,然後將其儲存到您的案頭。
  2. 執行ESET ServicesRepair實用程式。

  3. 遵照提示維修BFE服務。

  4. 公用程式完成後,請重新啟動電腦。

  5. 電腦重新啟動後,請再次安裝或執行AnyConnect安全移動客戶端。

注意:測試表明在登錄檔檔案損壞或服務損壞的大多數情況下,此工具都能提供幫助。因此,如果您遇到這些錯誤訊息,此工具也非常有用:
- VPN客戶端代理無法建立進程間通訊站。
- VPN代理服務沒有響應。請在一分鐘後重新啟動此應用程式。
- 本地電腦上的Cisco Anyconnect Secure Mobility Agent服務已啟動並停止。如果某些服務未被其他服務或程式使用,則這些服務會自動停止。

修訂記錄

修訂 發佈日期 意見
1.0
26-Jun-2013
初始版本
TAC Authored

由思科工程師貢獻

這份文件是否有所幫助?

Feedback意見

讓思科協助您