FC2ブログ
自分の備忘録ぐらいに適当に。 ネットワークと宇宙開発と天文とそれと自転車を徒然と。
備忘録。

仮想PCやリモートデスクトップからAnyConnectを使おうとすると
VPN establishment capability from a remote desktop is disabled. A VPN connection will not be established.

AnyConnect was not able to establish a connection to the specified secure gateway. Please try connecting again.
というメッセージが表示されて接続できなかったので何とかならんものかな~と時間を見つけて調べていたらCiscoのSupport Forumに似たような症状についてのケースがありました。
それがこちら。

Cisco AnyConnect Client + Remote Desktop / Virtual Machine
https://supportforums.cisco.com/thread/345921
VPN establishment capability from a remote desktop is disabled
https://supportforums.cisco.com/thread/1002225

で、上記のページを参考に以下のような作業&設定を追加したら仮想PC内やリモートデスクトップ内からAnyConnectが使えるようになりました。

1. AnyConnectProfile.tmplの編集
c:\Documents and Settings\All Users\Application Data\Cisco\Cisco AnyConnect VPN Client\Profile\
にある
AnyConnectProfile.tmpl
を編集。
編集箇所は以下の通り
----------------------------------------------------------------------
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>

<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
----------------------------------------------------------------------


2. 編集したAnyConnectProfile.tmplをASAのフラッシュに転送
ASDMFile Transferを使うと楽でしょう。


3. ASAに設定
※今回の追加設定のみ抜粋
----------------------------------------------------------------------
webvpn
 anyconnect profiles VPCRDP-Profile disk0:/AnyConnectProfile.tmpl
!
group-policy GroupPolicyAC attributes
 webvpn
  anyconnect profiles value VPCRDP-Profile type user
----------------------------------------------------------------------
※group-policyはAnyConnectで使用しているグループポリシーに設定して下さい。
 上記はAnyConnectで利用しているグループポリシーが "GroupPolicyAC" でそこに設定追加をした、と言うことになります。

参考としたSupportForumのページだとプロフィル関係が軒並み svc と AnyConnect の前の技術?機能?の名前だったのでそこを anyconnect に読み替えて頂ければと。

ただ付け焼き刃でやっているのでこのプロファイルでiPhone/iPad/iPod touchなどのiOS上のAnyConnectやGalaxyのAnyConnectを使うと接続時の同期プロセスで変なプロファイルが送りつけられるのでPC用のAnyConnectプロファイルとスマートフォン・スマートデバイス用のプロファイルは分けた方がいいかもしれません。
※PCでも送りつけられてはいるのですが"Connect to:"をプルダウンしないと見えないので最近まで気づかず。。。

他のページではVPN Profile Editorを使った方法も紹介されていたりしたので AnyConnectProfile.tmpl をそのまま使うのではなく
<WindowsVPNEstablishment>AllowRemoteUsers</WindowsVPNEstablishment>
のところだけ抜き出したファイルでもいいのかな~とか思ったりしてますが時間がないので試していないです。

ちなみにProfile Editorはインストール時に Typicalではなくオプション指定で VPN Profile Editor を選択しないとインストールされません。


関連記事

【2012/07/21 23:37】 | Cisco
|

ADSMのプロファイル設定でできます
desucre
ASDMのAnyconnectClientProfileの設定にてWindowsVPNEstablishmentをAllowRemoteUsersにし、配布すればOKです。

試してみます。
ねっとわーかー
リプライが遅くなりました。
ご指摘ありがとうございます。m(_o_)m
現在、ASAがあるところと違うロケーションでいることが多いので実機で確認するできないのですが、今度確認してみたいと思います。

コメントを閉じる▲
コメント
この記事へのコメント
ADSMのプロファイル設定でできます
ASDMのAnyconnectClientProfileの設定にてWindowsVPNEstablishmentをAllowRemoteUsersにし、配布すればOKです。
2012/08/10(Fri) 15:34 | URL  | desucre #-[ 編集]
試してみます。
リプライが遅くなりました。
ご指摘ありがとうございます。m(_o_)m
現在、ASAがあるところと違うロケーションでいることが多いので実機で確認するできないのですが、今度確認してみたいと思います。
2012/08/26(Sun) 19:19 | URL  | ねっとわーかー #195Lvy4Y[ 編集]
コメントを投稿
URL:

Pass:
秘密: 管理者にだけ表示を許可