Cisco Cisco AnyConnect Secure Mobility Client v4.x Release Notes

Due to a regression in Android 4.4.3,(

, Cisco CSCup24172), VPN connections

will fail to connect if the administrator has set the MTU for Android tunnels lower than 1280. This issue
has been reported to Google and will require a new version of the OS to correct the regression introduced
in Android 4.4.3. To workaround this problem, ensure that the head-end administrator has not configured
the tunnel MTU to be lower than 1280.

When encountered, the message displayed to the end user is:

System configuration settings could

not be applied. A VPN connection will not be established

, and AnyConnect debug logs will

report:

E/vpnandroid( 2419): IPCInteractionThread: NCSS: General Exception occured, telling
client
E/vpnandroid( 2419): java.lang.IllegalStateException: command '181 interface fwmark
rule add tun0'
failed with '400 181 Failed to add fwmark rule (No such process)'
E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1473)
E/vpnandroid( 2419): at android.os.Parcel.readException(Parcel.java:1419)
E/vpnandroid( 2419): at
com.cisco.android.nchs.aidl.IICSSupportService$Stub$Proxy.establish
(IICSSupportService.java:330)
E/vpnandroid( 2419): at com.cisco.android.nchs.support.VpnBuilderWrapper.establish
(VpnBuilderWrapper.java:137)
E/vpnandroid( 2419): at com.cisco.android.nchs.support.NCSSIPCServer.callServiceMethod
(NCSSIPCServer.java:233)
E/vpnandroid( 2419): at
com.cisco.android.nchs.ipc.IPCInteractionThread.handleClientInteraction
(IPCInteractionThread.java:230)
E/vpnandroid( 2419): at com.cisco.android.nchs.ipc.IPCInteractionThread.run
(IPCInteractionThread.java:90)
E/acvpnagent( 2450): Function: ApplyVpnConfiguration
File: NcssHelper.cpp Line: 740 failed to establish VPN
E/acvpnagent( 2450): Function: PluginResult AndroidSNAKSystem::configDeviceForICS()
File: AndroidSNAKSystem.cpp Line: 665 failed to apply vpn configuration
E/acvpnagent( 2450): Function: virtual PluginResult
AndroidSNAKSystem::ApplyConfiguration()
File: AndroidSNAKSystem.cpp Line: 543 Failed to Configure System for VPN.

• We are pleased to report that Android 4.4 (KitKat) bug Google Issue #61948 (AnyConnect users will

experience High Packet Loss over their VPN connection /users will experience timeouts) has been
resolved in Google's release of Android 4.4.1 which Google has begun distributing to some devices via
Software Update. The following problem information is provided for reference:

Due to a bug in Android 4.4 (

also see the

), AnyConnect users will

experience High Packet Loss over their VPN connection. This has been seen on the Google Nexus 5
running Android 4.4 with AnyConnect ICS+. Users will experience timeouts when attempting to access
certain network resources. Also, in the ASA logs, a syslog message will appear with text similar to
"Transmitting large packet 1420 (threshold 1405)."

Until Google produces a fix for Android 4.4, VPN administrators may temporarily reduce the maximum
segment size for TCP connections on the ASA by configuring the following sysopt connection tcpmss
<mss size>. The default for this parameter is 1380 bytes. Reduce this value by the difference between
the values seen in the ASA logs. In the above example, the difference is 15 bytes; the value should thus
be no more than 1365. Reducing this value will negatively impact performance for connected VPN users
where large packets are transmitted.

• AnyConnect for Android may have connectivity issues when connecting to a mobile network using the

IPv6 transition mechanism known as 464xlat. Known affected devices include the Samsung Galaxy
Note III LTE connecting to the T-Mobile US network. This device defaults to an IPv6 only mobile
network connection. Attempting a connection may result in a loss of mobile connectivity until the device
is rebooted.