Cisco Anyconnect iOS e problemi di collegamento

Cisco Anyconnect iOS e problemi di collegamento

Oggi un cliente mi scrive che non riesce ad utilizzare più la sua VPN Cisco Anyconnect su dispositivi iOS, da un mese a questa parte (what?).
Dopo un iniziale momento di smarrimento, ho preso il mio iPhone e impostato il tunnel: effettivamente è impossibile collegarsi, sull'ASA non ci sono particolari informazioni di debug (debug crypto...).

Cosa fare? Cercare online mi ha effettivamente aiutato e ho risolto molto velocemente.

Come prima cosa, ho lanciato il comando show ssl errors, il cui output era più o meno il seguente:

error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher@s3_srvr.c:2056

Il problema pare essere quindi nella negoziazione dei ciphers fra il dispositivo iOS e il firewall ASA. Facendo uno show running-config ho visto che mancavano alcune righe, ovvero erano presenti solo:

ssl cipher default all
ssl cipher tlsv1 custom "RC4-MD5:AES128-SHA:AES256-SHA"
ssl cipher dtlsv1 custom "RC4-MD5:AES128-SHA:AES256-SHA"
ssl trust-point ASDM_TrustPoint0 outside

In pratica, il cliente aveva configurato solo alcuni cipher SSL custom, tagliando fuori le versioni TLS 1.1 e 1.2; aggiungendo quelle righe, il client è riuscito a collegarsi alla VPN.

Per isolare il problema, inoltre, ho impostato il logging in maniera differente:

logging class auth buffered debugging
logging class svc buffered debugging
logging class ssl buffered debugging

Dopodiché, un bel debug sull'ASA permette di capire che cosa stia accadendo in tempo reale (non dimenticatevi terminal monitor!).


Ovviamente ci sono un po' di cose che non mi tornano, però è un problema che ho ereditato da un collega, per cui alcune informazioni non ho potuto verificarle in prima persona.