Cisco VPN 5000 Concentrator en client vaak gestelde vragen

Inleiding

Dit document behandelt vaak gestelde vragen over Cisco VPN 5000 Series Concentrator en de Cisco VPN 5000-client.

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Q. Waarom ontvang ik de "FOUT": InitSTEP teruggekeerd. Kan STEP VxD"-fout niet vinden in de VPN 5000-client voor Windows XP en hoe kan ik dit oplossen?

A. Deze fout doet zich altijd voor wanneer de VPN-client niet kan worden binden of de benodigde VPN-services niet toegankelijk zijn. De VPN 5000-client voor Windows XP bevat een setup-programma dat automatisch een programma start om het netwerkstuurprogramma te installeren. Als het programma om wat voor reden dan ook faalt, gebruikt u deze procedure om het netwerkstuurprogramma handmatig te installeren.

1. Installeer de VPN-clientsoftware met de sectie VPN-client installeren voor Windows XP.
2. Log in op het systeem als beheerder of als gebruiker met Administrator-rechten.
3. Selecteer Start > Instellingen > Netwerk- en Internet-verbindingen > Netwerkverbindingen.
4. Dubbelklik op de juiste lokale verbindingsomgeving.
5. Klik op Eigenschappen.
6. Klik op Install (Installeren).
7. Selecteer Service.
8. Klik op Add (Toevoegen).
9. Klik op Schijf hebben.
10. Voer het pad naar de map in waarin de bestanden netcs.inf, netcs_m.inf en step.sys zich bevinden. In de meeste gevallen is dit dezelfde map als het VPN-clientinstallatiebestand.
11. Klik op OK om het stuurprogramma te installeren.
12. Nadat het stuurprogramma is geïnstalleerd, sluit u het venster Network and Dial-up Connections.
13. Herstart de computer.

V. ondersteunt de VPN 5000 Concentrator de Native VPN-client die wordt gevonden in Macintosh OS 10.3 (ook bekend als Panther)?

A. De VPN 5000 Concentrator is niet getest met iets anders dan Macintosh Operating System (OS) 10.1.5. Er kan geen ondersteuning worden aangevraagd voor de Panther release. Er is nooit naar gekeken in de context van VPN 5000 Concentrator, alleen voor die van Cisco VPN-client. Als later ondersteuning van OS nodig is, overweeg dan naar de Cisco VPN-client. Daarnaast is de Native VPN-client in 10.3 IPSec over Layer 2 Tunneling Protocol (L2TP), dat niet wordt ondersteund in de VPN 5000-centrator.

Q. Ik ontvang een kernel extensie fout wanneer ik probeer om Cisco VPN 5000 5.2.2 client op Macintosh OS X 10.3 uit te voeren. Wat moet ik doen?

A. Zoals vermeld in de Releaseopmerkingen van Cisco VPN 5000 Client versie 5.2.3 voor Macintosh Operating System (OS) X, wordt de Cisco VPN 5000-client ondersteund tot versie 10.1.x. Het wordt niet ondersteund op versie 10.3. Het is echter mogelijk om de VPN-client te laten werken. Zet de rechten op twee van de geïnstalleerde bestanden terug nadat u het installatiescript hebt uitgevoerd. Deze uitvoer is een voorbeeld.

Opmerking: Deze configuratie wordt niet ondersteund door Cisco.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

Q. Als ik de optie Auto-Connect met Default Before Logon gebruik met een dialoogupverbinding, waarom wordt de optie van het telefoonboek van de gebruiker dan uitgegraveerd?

A. De typische reden dat dit gebeurt is door een gedeeltelijke, onjuiste of ontbrekende installatie van het Protocol voor Registratie, Toelating en Status (RAS) op het systeem. Probeer in plaats van een herinstallatie op de VPN-client uit te voeren de Windows Verkenner te verwijderen en opnieuw te installeren.

Q. Wat betekent "Fout ID = -1"?

A. Dit is een Macintosh Operating System (OS) foutmelding die optreedt wanneer VPN 5000 Client versie 10.0 is geïnstalleerd op Macintosh OS 10.1, dat nog niet wordt ondersteund. De fout duidt op een regelrechte mismatch. Raadpleeg de Bug Toolkit (alleen geregistreerde klanten) om meer informatie over Cisco bug-ID CSCdv57716 te bekijken. Dit is een voorbeeld van de fout:

Q. Wat betekenen fout 0, fout 4, fout 6, fout 7 en fout 14?

A. In deze lijst wordt hun betekenis uitgelegd:

• Fout 0-Deze fout komt voor wanneer geen sectie van het Beleid van Internet Key Exchange (IKE) voor de VPN 5000 Concentrator is ingesteld, of als een IKE-configuratie niet voor die VPN-groepsconfiguratie is geconfigureerd.

• Fout 4-Er zijn geen VPN-bronnen beschikbaar in de VPN 5000 Concentrator. Dit betekent dat de VPN 5000 Concentrator de maximum verbindingen voor deze groep heeft bereikt. Het kan ook betekenen dat de configuratie een LocalIPNet bevat met een oneigenlijke syntax zoals "LocalIPNet=204.144.171.64" (er moet een /26 of een ander masker worden gedefinieerd).

• Fout 6-Als de VPN 5000 Concentrator is geconfigureerd voor een gebruikersnaam "Bob" en de gebruiker "bob" (met het juiste wachtwoord) opslaat, dan geeft de VPN 5000 Concentrator een VPN-serverfout 6 terug. Als de gebruiker "Bob" en het verkeerde wachtwoord instelt, dan geeft de VPN 5000 Concentrator ook een fout 6 terug. 5000 Concentrator voert DES-code uit en probeert een 3DES-transformatie te gebruiken, zoals ESP (MD5, 3DES), dan wordt fout 6 teruggegeven aan de VPN 5000-client. Non-export code (3DES) heeft een "US" (bijvoorbeeld versie 5.0US) en is in staat om 3DES-encryptiemethoden te gebruiken. Alle Cisco VPN 5000 Concentrators worden verzonden met DES-code. Verwijdert de 3DES-conversie en gebruik een andere modus indien u alleen de DES-code gebruikt.

• Fout 7-Deze fout betekent dat uw VPN 5000 Concentrator is ingesteld met een IKE-beleid dat momenteel niet actief is voor de codeversie. Op dit moment zijn alle 3DES- en G2-beleidslijnen voor versie 5.x-code inactief. Verwijder deze en stel het IKE-beleid in op MD5_DES_G1 of SHA_DES_G1.

• Fout 14-Dit is een RADIUS-fout waarbij de VPN 5000 Concentrator de juiste informatie van de RADIUS-server niet ontvangt zodat de VPN 5000-client kan inloggen.

• Betrokken producten:

  • Windows 950-98 VPN-client voor Cisco VPN 5000 Concentrator Series

  • Windows NT 4.0 VPN-client voor Cisco VPN 5000 Concentrator Series

  • Macintosh Operating System (OS) VPN-client voor Cisco VPN 5000 Concentrator Series

  • Linux Kernel 2.2.5 VPN-client voor Cisco VPN 5000 Concentrator Series

  • SPARC-client voor VPN voor Cisco VPN 5000 Concentrator Series

  • Cisco VPN 5001 Concentrator

  • Cisco VPN 5002-concentratie

  • Cisco VPN 5008-concentratie

• Betrokken versies:

  • Alle 5.x-versies

Q. Wat zijn de Linksys® routerproblemen met IPSec klanten?

A. Linksys® routers ondersteunen IPSec-verbindingen alleen op firmware versies 1.34 of later (1.39 is de laatste versie). De IPSec-doorgifte moet op de Linksys® router worden ingeschakeld.

Q. Wat zijn de toegestane tekens wanneer u een gebruikersnaam voor de VPN 5000-client specificeert?

A. De gebruikersnaam en het domein zijn hoofdlettergevoelig en kunnen tussen 1 en 60 alfanumerieke tekens worden gecombineerd. Dit omvat het "at" - teken (@). Raadpleeg VPN-gebruikers voor meer informatie.

Deze gebruikersnaam is illegaal (het "-" teken is ongeldig):

[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

Q. Hoeveel interne gebruikers kunnen op de VPN 5000 Concentrator worden gedefinieerd?

A. Het wordt altijd aanbevolen om RADIUS- of Secure ID-verificatie (SDI) te gebruiken voor grote implementaties. Het aantal interne gebruikers is afhankelijk van de grootte van uw configuratie. De maximum configuratiegrootte is 65.500 bytes. Om dit te zien, herzie de laatste lijn van de opdrachtoutput van de show configuratie. Bijvoorbeeld:

Configuration size is 6732 out of 65500 bytes.

Q. Hoeveel tunnels kunnen worden geconfigureerd op VPN 5001, VPN 5002 en VPN 5008 Concentrators?

A. De VPN 5001 Concentrator kan maximaal 1500 tunnels ondersteunen, de VPN 5002 Concentrator kan maximaal 10.000 tunnels ondersteunen en de VPN 5008 Concentrator kan maximaal 40.000 tunnels per lijnkaart ondersteunen.

Q. Wat tonen de modulinfo en dmesg opdrachten?

A. De opdracht Modinfo toont wat en hoeveel modules worden geladen. De opdracht dessg geeft bootup syslogberichten weer.

Hoe kan ik de Linux® client volledig verwijderen?

A. Bij installatie worden deze bestanden gemaakt of op uw systeem geplaatst:

• /etc/vpn_fig-Het wordt aanbevolen om deze te bewaren omdat het de configuratie van de VPN 5000-client is.

• /etc/rc.d/init.d/vpn - Dit is het laars-tijd script dat de "vpnmod" kernel module laadt.

• /etc/rc.d/rc3.d/s85.vpn—Dit is een link naar /etc/rc.d/init.d/VPN.

• /etc/rc.d/rc5.d/s85.vpn—Dit is een link naar /etc/rc.d/init.d/VPN.

• /usr/local/bin/open_tunnel—Dit opent de tunnelverbinding.

• /usr/local/bin/close_tunnel — Deze sluit de tunnel.

• /usr/local/bin/vpn_control - Dit is een hulpmiddel om de problemen op te lossen dat wordt gebruikt om de debug-vlaggen aan te zetten. Het wordt meestal gebruikt in de ontwikkeling.

• /lib/modules/<kernelversion>/COMPvpn/vpnmod—Dit is de kerelmodule. Voer de opdracht uname -r uit om de <kernelversie> te bepalen.

Als u deze bestanden verwijdert, herstart u het programma nogmaals, verwijdert u de client effectief. In plaats hiervan kunt u ook /usr/local/bin/close_tunnel en /etc/rc.d/init.d/vpnstop uitvoeren en vervolgens de bovenstaande bestanden verwijderen.

Het /etc/vpn_fig bestand is de configuratie van de client. Het bevat de server-, gebruikersnaam- en wachtwoordinformatie. Als u de VPN-client opnieuw wilt installeren, wordt geadviseerd een kopie van dit bestand te bewaren.

Q. Kan de VPN 5000 Clientsoftware op dezelfde doos met Nortel® Extranet Toegangsclient of een andere client bestaan? Wordt dit ondersteund?

A. Cisco VPN-clientversie 4.0 en hoger kunnen naast elkaar bestaan. Raadpleeg het gedeelte Coëxistentie met VPN-verkopers van derden van de release Notes voor VPN-client, release 4.0.

Is er een beschikbare DES-versie van Macintosh OS X?

A. Nee, maar er is een 3DES-versie beschikbaar.

Wat zijn de indicaties dat de VPN 5002 Concentrator heet werkt?

A. Als de LSD-over-Temperatuur op een uitgebreide servicesprocessor (ESP) in de VPN 5002 Concentrator is aangestoken of als er andere temperatuurproblemen met de unit zijn, kan het zijn dat het ingebouwde luchtfilter verstopt is met vuil en de luchtstroom verhindert. Raadpleeg Vervangen van het luchtfilter voor nadere instructies op het volgende adres:

Q. Kan H.323-sessies worden ondersteund met de VPN 5001 Concentrator en VPN 5000 Clientsoftware versie 5.1.7?

A. Nee, ze kunnen niet worden ondersteund omdat het IP-adres is ingesloten in het gegevensgedeelte van het pakket. De client van VPN 5000 kan dit adres niet benaderen of benaderen.

Q. In een LAN-to-LAN situatie met een VPN 5000 Concentrator aan een Cisco IOS® router, merk ik op dat na een uur de herhaling niet tussen hen gesynchroniseerd is. Hoe kan ik dit probleem oplossen?

A. Dit probleem wordt meestal opgelost door "keymanagement=betrouwbaar" in te stellen op de VPN 5000 Concentrator-configuratie. Dit werkt echter niet wanneer het Cisco IOS-apparaat een dynamisch IP-adres heeft.

Q. What doet the "<local7.Waarschuwen>macvpn fTCP ERR: Onbekend is next_proto, 69 van 172.21.139.5" foutmelding?

A. Het nepbericht van TCP (fTCP) verschijnt wanneer de VPN-Concentrator een pakket met poort 80 ontvangt en na het verwijderen van de headers geen ESP-pakket heeft gevonden. De VPN Concentrator neemt alleen IPSec (ESP) pakketten en andere zaken worden gedropt. Toen de coderode worm op het internet werd vrijgegeven, vulde deze waarschuwing de systeembuffer op voor veel klantenmachines in. Deze foutmelding kan aangeven dat uw machine is geïnfecteerd en probeert via poort fTCP toegang te krijgen tot de VPN 5000 Concentrator.

Gerelateerde informatie

• Cisco VPN 5000 Series Concentrators end-of-sale aankondiging
• Ondersteuning van Cisco VPN 5000 Series Concentrators
• Cisco VPN 5000 clientondersteuningspagina
• Ondersteuningspagina voor IPsec (IP security protocol)
• Technische ondersteuning - Cisco-systemen