💡 Hva skjer når AnyConnect sier «VPN establishment from a remote desktop is disabled»?
Du får feilmeldingen, du tenker «what? jeg er jo logget inn», og alt du vil gjøre er å koble til bedriftens VPN fra en fjernstyrt maskin. Kortversjonen: mange VPN-løsninger (inkludert Cisco AnyConnect i visse oppsett) blokkerer nye VPN-sesjoner som startes inne i en Remote Desktop (RDP)-session.
Grunnen er enkel — og litt kjedelig: sikkerhet. Å la en VPN-etablering skje fra en skjult/ekstern konsoll åpner for angrepsmønstre hvor legitime autentiseringsdata kan bli fanget opp eller misbrukt i en «double hop»-situasjon. Derfor slår administrasjonen ofte dette av på server- eller klientnivå. Men det er også andre grunner: feilkonfigurasjon, policyer i AnyConnect-profilen, eller til og med kjente produktproblemer i nettverksutstyret som gjør at admins tvinger strengere regler.
I tillegg må du vite at nettverksleverandører som Cisco/Meraki nylig har publisert sårbarheter som påvirker VPN-tjenester — noe som gjør at mange av dem strammer inn regler og oppfordrer til oppgradering for å unngå DoS og driftavbrudd. Referanse: Meraki har listet en DoS-sårbarhet (CVE-2025-20271) som kan føre til at VPN-servere restartes ved spesielle HTTPS-forespørsler — oppdateringer er publisert i firmware-utgavene 18.107.13, 18.211.6 og 19.1.8. Dette betyr at admins ofte velger å låse ned funksjonalitet midlertidig mens de oppgraderer infra.
📊 Dataoversikt: vanlige årsaker og raske løsninger
| 🧑💻 Scenario | ⚠️ Hva skjer | 🛠️ Rask løsning | 📈 Påvirkning |
|---|---|---|---|
| Forsøker VPN fra en Windows RDP-session | AnyConnect blokkerer tilkobling med feilmeldingen | Koble til VPN lokalt før RDP, eller be admin endre policy | Lav til middels |
| Serverpolicy har deaktiverte remote-initiativer | VPN-profilen forhindrer ekstern initiering | Endring av profil på ASA/Portal — krever admin | Middels |
| Nylig kjent sårbarhet i nettverksutstyr | Admins låser ned funksjoner for å redusere eksponering | Sikre firmwareoppgradering (se Meraki-tiltak for CVE-2025-20271) | Høy |
| ClamAV/antivirus krasjer på gateway | Antivirus kan stoppe scanning og gjøre admin mer restriktiv | Oppdater ClamAV — CVE-2025-20234 gjelder UDF-parsing | Middels |
Denne tabellen viser et par vanlige mønstre: ofte er problemet policydrevet (enten klient- eller server-side), men det kan også være en administrativ reaksjon på sårbarheter i nettverksutstyret. Hvis admins har sett DoS-problemer mot VPN-servere (som beskrevet i Merakis varsel om CVE-2025-20271), vil de ofte velge å deaktivere funksjoner som oppleves som usikre inntil et patch er rullet ut. Derfor er symptomer som din feilmelding ofte både en sikkerhetsadvarsel og et administrativt valg.
🛠️ Hva du kan gjøre — praktiske trinn (brukervennlig)
Her er en sjekkliste for deg som sliter med feilmeldingen. Gjør ting i denne rekkefølgen — det sparer tid og unngår “skru av halvveis”-endringer:
- Kort test: Koble til fra fysisk maskin (om mulig).
- Hvis VPN fungerer når du er ved konsollen, er det høyst sannsynlig en policy som blokkerer RDP-initiert VPN.
- Koble til VPN lokalt før du starter Remote Desktop:
- På din lokale maskin: start VPN-klienten, så RDP. Det omgår begrensningen fordi VPN er etablert utenfor den fjerne skjermen.
- Sjekk hvilken feilmelding og logg som gir mer info:
- På Windows: sjekk Event Viewer, AnyConnect-client logs (vanligvis i %ProgramData%\Cisco\ or lignende).
- Snakk med din IT-avdeling:
- Be dem sjekke AnyConnect-profilen, ASA/Meraki-innstillinger og eventuelle nylige firmware-oppgraderinger eller midlertidige lockdown-policyer.
- Hvis organisasjonen nylig har patchet for CVE-2025-20271 eller hatter aktivert ekstra regler pga. DoS-risiko, forklar situasjonen og be om en risikovurdering.
- Alternativer:
- Bruk en sikker, administrator-godkjent gateway (Always On VPN, SAML SSO gjennom en browser, eller en skybasert tilgangstjeneste).
- Unngå å prøve user-directed tweaks (registry, lokale policyer) uten godkjenning — det kan bryte compliance.
🔍 Administratorhjørnet: hva å sjekke bak kulissene
Hvis du er admin eller supportpersonell, husk disse tekniske punktene:
- Sjekk AnyConnect-profilen (XML) for flags som forhindrer ny tilkobling fra RDP-seanser.
- Undersøk VPN-gatewayens policyer (ASA, Firepower, Meraki MX): enkelte deployments har eksplisitte regler for remote console-initiering.
- Se etter nylige innstramminger etter offentliggjorte sårbarheter. Meraki har publisert at CVE-2025-20271 kan føre til DoS ved initiering av VPN-sesjoner via manipulerte HTTPS-forespørsler, og at dette er rettet i utgavene 18.107.13, 18.211.6 og 19.1.8. Hvis dere kjører versjoner fra og med 16.2 og opp, og spesielt hvis dere er på 16.2/17.6 (som ikke lenger støttes), må dere planlegge oppgradering snarest.
- ClamAV-relatert: CVE-2025-20234 i ClamAVs UDF-parser kan krasje scanning — hvis gateway-appliances mister antimalware-funksjonen, blir admins mer aggressive i å begrense ekstern VPN-initiering.
- Logger first: capture TLS/HTTPS-forespørsler, AnyConnect-særmeldinger og systemmeldinger for å kunne gi et komplett bilde.
I praksis betyr dette: oppgrader firmware, kontroller profil-innstillingene, og vurder en midlertidig policy med administrative unntak for nøkkelbrukere hvis forretningskritisk arbeid hindres.
😎 MaTitie: VISNING
Hei — jeg er MaTitie, forfatteren her og en halvgammel VPN-narkoman som har testet hundrevis av tjenester og smugkikket på langt flere «locked» sider enn jeg tør si. Når ting blir kritisk: fart, personvern og enkel tilgang er de viktigste kriteriene for meg.
Hvis du trenger en VPN som funker stabilt i Norge for streaming, rask surfing og privat arbeid — skip amatørløsningene. Anbefalingen min er klar:
👉 🔐 Prøv NordVPN nå — 30 dager risk-free.
NordVPN funker ofte når du trenger det mest: hastighet, solid personvern, og bra støtte for strømmetjenester. Og ja — dette er en affiliate-lenke. MaTitie tjener en liten provisjon hvis du kjøper via linken — takk for at du støtter arbeidet mitt!
💡 Dypdykk: sikkerhetskonsekvenser og anbefalt policy
La oss være ærlige: å åpne for VPN-initiering fra RDP er en kompromissbeslutning. For noen roller (supportteknikere, DevOps, nøkkelbrukere) kan det være nødvendig. For mange andre øker det risikoen for konto- og sessionskapring.
Anbefalt policy-tilnærming:
- Prinsipp: minst mulig privilegium.
- Tillat unntak kun for brukere med multifaktor-autentisering og ekstra overvåkning.
- Bruk tidsbegrensede unntak og logging for alle RDP-initierte VPN-økter.
- Benytt moderne tilgangsmetoder (Zero Trust, SAML-baserte browser-tilganger) som alternativ til tradisjonell VPN når mulig.
Å kombinere disse tiltakene gir en balanse mellom brukervennlighet og sikkerhet — akkurat det mange norske virksomheter trenger i 2025.
🙋 Ofte stilte spørsmål
❓ Hvorfor blokkerer systemet VPN når jeg er i en RDP-session?
💬 Det er en sikkerhetsgrep for å unngå at legitime autentiseringsdetaljer blir brukt fra en ekstern konsoll. Det kan også være et resultat av en beslutning tatt etter at administrasjonen har oppdaget sårbarheter eller uventet trafikk.
🛠️ Kan jeg endre klientinnstillingene slik at AnyConnect alltid tillater RDP-initiert tilkobling?
💬 Det finnes mulig-konfigurasjoner, men de krever administratortilgang og må vurderes i sammenheng med bedriftens sikkerhetspolicy. Prøv heller å koble til VPN lokalt før RDP.
🧠 Hva har nylige nyheter om VPN/sikkerhet å si for denne feilen?
💬 Bransjen beveger seg raskt: bedrifter bytter strategi mot browser-baserte tilgangsløsninger og Zero Trust (se bl.a. en diskusjon om nettleserstrategier for sikre tilgang i bedrifter) — dette påvirker hvilke funksjoner som tillates i tradisjonelle VPN-klienter. [techradar_uk, 2025-08-29]
🧩 Avsluttende tanker
Feilmeldingen du ser er ofte ikke et «bug» — det er et sikkerhetsvalg. Løsningen kan være enkel (koble til VPN lokalt), eller den kan kreve administrativ handling (endre policy, oppgradere firmware pga. CVE-issues). Husk også at nettverksleverandører som Cisco/Meraki nylig har publisert patcher for DoS-relaterte VPN-problemer, så en god rutine er å holde gateway-firmware og antivirus oppdatert.
Kort oppsummert: sjekk lokalt først, snakk med IT hvis det ikke funker, og unngå uautoriserte hacks. Tryggere nett er bedre for alle.
📚 Videre lesning
Her er tre artikler fra nyhetspoolen som gir mer kontekst rundt sikrere tilgangsstrategier og strømmevaner:
🔸 The best MacBook accessories for 2025
🗞️ Source: engadget – 📅 2025-08-29
🔗 Les artikkel
🔸 How to watch Dutch Grand Prix 2025: Live stream the F1 from anywhere
🗞️ Source: whathifi – 📅 2025-08-29
🔗 Les artikkel
🔸 US Open 2025 : Comment regarder le tournoi en streaming gratuit partout dans le monde ?
🗞️ Source: lesnumeriques – 📅 2025-08-29
🔗 Les artikkel
😅 En liten selgende påminnelse (håper det går greit)
La oss være ærlige — mange VPN-guider anbefaler NordVPN, og det er ikke uten grunn. For folk i Norge som vil ha en rask, stabil og relativt enkel løsning for streaming og personvern, er NordVPN et trygt sted å starte. Du kan teste uten risiko i 30 dager via denne lenken:
MaTitie kan tjene en liten provisjon hvis du kjøper via den lenken — takk for at du støtter arbeidet vårt!
📌 Ansvarsfraskrivelse
Denne artikkelen kombinerer offentlig tilgjengelig informasjon og teknisk kontekst. Den er ment som veiledning og ikke som formell sikkerhetsinstruks for din spesifikke infrastruktur. Alltid dobbeltsjekk med din interne IT/leverandør før du endrer sikkerhetspolicy eller utfører oppgraderinger. Hvis noe virker uklart eller feil, si ifra — jeg fikser det gjerne.