VPN客戶端常見問題
簡介
本文檔回答有關Cisco VPN客戶端的常見問題。
注意:以下是各種VPN客戶端的命名約定:
-
僅Cisco Secure VPN客戶端1.0至1.1a版
-
僅Cisco VPN 3000客戶端版本2.x
-
僅Cisco VPN客戶端3.x及更高版本
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
下載VPN客戶端軟體
問:在哪裡可以下載Cisco VPN客戶端軟體?
答:您必須登入並擁有有效的服務合約,才能訪問Cisco VPN客戶端軟體。Cisco VPN Client軟體可從Cisco Download Software(僅限註冊客戶)頁面下載。如果您沒有與Cisco.com配置檔案關聯的有效服務合約,則無法登入並下載VPN客戶端軟體。
若要取得有效的服務合約,您可以:
如果您有直接購買協定,請聯絡您的思科客戶團隊。
要購買服務協定,請聯絡思科合作夥伴或經銷商。
使用Profile Manager(僅供註冊客戶使用)可更新Cisco.com配置檔案並請求與服務協定的關聯。
問: Cisco VPN客戶端下載區域顯示為空。為什麼?
A. 當您到達Software Center的VPN客戶端區域時(僅限註冊客戶),請確保在頁面中間為您的所需作業系統選擇下載區域。
問:如何在Cisco VPN客戶端安裝過程中禁用狀態防火牆功能?
A. 對於5.0之前的VPN客戶端版本:
請參閱VPN客戶端Rel 4.7版本說明的文檔更改部分,以瞭解兩個主題「使用MSI安裝沒有狀態防火牆的Windows VPN客戶端」和「使用InstallShield安裝沒有狀態防火牆的Windows VPN客戶端」。
對於5.0之後的VPN客戶端版本:
從Cisco VPN客戶端5.0.3.0560版開始,新增了MSI安裝標誌,以避免在防火牆檔案中安裝指導:
msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1
有關此問題的詳細資訊,請參閱不需要狀態防火牆時繞過防火牆檔案的安裝部分。
問:如何解除安裝或升級Cisco VPN客戶端?
A.有關如何手動解除安裝(InstallShield)然後為Windows 2000和Windows XP升級Cisco VPN客戶端版本3.5及更高版本的資訊,請參閱刪除隨MSI安裝程式安裝的VPN客戶端版本。
Cisco VPN Client for Windows 2000和Windows XP軟體可以通過隧道自動從可提供通知的VPN 3000集中器或其他VPN伺服器中安全下載更新和新版本。要使用此自動更新功能,遠端使用者必須在其電腦上安裝用於Windows 4.6或更高版本的VPN客戶端。
使用此功能(稱為自動更新)時,使用者無需解除安裝軟體的舊版本、重新啟動、安裝新版本,然後重新引導。相反,管理員在Web伺服器上提供更新和配置檔案,當遠端使用者啟動VPN客戶端時,軟體檢測到有下載可用,並自動獲取該下載。如需詳細資訊,請參閱管理自動更新和自動更新運作方式。
有關如何使用ASDM在Cisco ASA系列5500自適應安全裝置上配置客戶端更新的資訊,請參閱使用ASDM配置客戶端軟體更新。
問:我想為Vista自定義VPN客戶端。我意識到,對於Vista的新VPN客戶端版本,沒有像oem.mst這樣的檔案。如何自定義新的VPN客戶端版本(5.x),或者在哪裡可以找到此檔案?
答:MST檔案不再隨VPN客戶端提供,但是您可以從Download Software(僅限註冊客戶)頁面下載:
檔名:Readme和MST,用於安裝在國際版Windows上。
作業系統
問:思科是否為Windows Vista提供VPN客戶端?
答:新版本Cisco VPN客戶端5.0.07支援x86(32位)和x64上的Windows Vista。有關詳細資訊,請參閱5.0.07.0240發行說明。
注意:僅在Windows Vista全新安裝上支援Cisco VPN客戶端,這意味著該VPN客戶端軟體不支援將任何Windows作業系統升級到Windows Vista。您必須全新安裝Windows Vista,然後安裝Vista VPN客戶端軟體。
附註: 如果您沒有與Cisco.com配置檔案關聯的有效服務合約,則無法登入並下載VPN客戶端軟體。有關詳細資訊,請參閱下載VPN客戶端軟體。
提示:Cisco AnyConnect VPN客戶端現在可用於Windows作業系統,包括Vista 32和64位作業系統。AnyConnect客戶端支援SSL和DTLS。目前不支援IPsec。此外,AnyConnect僅適用於運行8.0(2)或更高版本的思科自適應安全裝置。使用者端也可在執行12.4(15)T版的IOS裝置的Weblaunch模式下使用。不支援VPN 3000。
Cisco AnyConnect VPN客戶端和ASA 8.0可從軟體中心獲取(僅限註冊客戶)。 有關AnyConnect客戶端的詳細資訊,請參閱Cisco AnyConnect VPN客戶端版本說明。有關ASA 8.0的詳細資訊,請參閱Cisco ASA 5500系列自適應安全裝置發行說明。
附註: 如果您沒有與Cisco.com配置檔案關聯的有效服務合約,則無法登入並下載AnyConnect VPN客戶端或ASA軟體。 有關詳細資訊,請參閱下載VPN客戶端軟體。
問:如何從Microsoft Windows PC設定PPTP連線?
答:安裝程式取決於您運行的Microsoft Windows版本。您應該與Microsoft聯絡以獲取具體資訊。以下是一些常見版本的Windows的安裝說明:
Windows 95
- 安裝Msdun13.exe。
- 選擇Programs > Accessories > Dial Up Networking。
- 建立一個名為「PPTP」的新連線。
- 選擇VPN Adapter作為連線的裝置。
- 輸入交換機公共介面的IP地址,然後按一下Finish。
- 返回您剛剛建立的連線,按一下右鍵,然後選擇Properties。
- 在Allowed Network Protocols下,至少取消選中netbeui。
- 配置Advanced Options設置:
- 保留預設設定,以允許交換機和使用者端自動交涉驗證方法。
- 啟用Require Encrypted Password以強制質詢握手身份驗證協定(CHAP)身份驗證。
- 啟用要求加密密碼和要求資料加密以強制MS-CHAP身份驗證。
Windows 98
- 完成以下步驟即可安裝PPTP功能:
- 選擇開始>設定>控制面板>新增新硬體,然後按一下下一步。
- 按一下Select from List,選擇Network Adapter,然後按一下Next。
- 在左側面板中選擇Microsoft,在右側面板中選擇Microsoft VPN Adapter。
- 完成以下步驟即可設定PPTP功能:
- 選擇Start > Programs > Accessories > Communications > Dial Up Networking。
- 按一下Make new connection,然後選擇Microsoft VPN Adapter以選擇裝置。VPN伺服器IP地址= 3000隧道終端。
- 完成以下步驟,將PC更改為也允許密碼驗證通訊協定(PAP):
注意:Windows 98的預設身份驗證是使用密碼加密(CHAP或MS-CHAP)。
- 選擇屬性>伺服器型別。
- 取消選中Require encrypted password。您可以在此區域配置資料加密(Microsoft點對點加密[MPPE]或不配置MPPE)。
Windows 2000
- 選擇Start > Programs > Accessories > Communications > Network and Dialup connections。
- 按一下Make new connection,然後按一下Next。
- 選擇Connect to a private network through the Internet and Dial a connection previous(如果擁有LAN,請勿選擇此選項),然後按一下Next。
- 輸入隧道終結點(3000)的主機名或IP地址。
- 如果需要更改密碼型別,請為連線選擇Properties > Security > Advanced。預設值為MS-CHAP和MS-CHAP v2(不是CHAP或PAP)。 您可以在此區域配置資料加密(MPPE或無MPPE)。
Windows NT
問:哪些作業系統版本支援Cisco VPN客戶端?
A.為VPN客戶端不斷新增對其他作業系統的支援。請參閱VPN客戶端5.0.07的發行說明中的系統要求以確定此問題,或參閱Cisco硬體和支援IPsec/PPTP/L2TP的VPN客戶端。
附註:
VPN客戶端支援用於Windows XP和Windows Vista的雙處理器和雙核心工作站。
Windows VPN客戶端版本4.8.00.440是正式支援Windows 98作業系統的最終版本。
Windows VPN客戶端版本4.6.04.0043是正式支援Windows NT作業系統的最終版本。
Cisco VPN Client 5.0.07版支援Windows Vista和Windows 7(x86(32位)和x64(64位)版。
Cisco VPN客戶端僅支援Windows XP 32位,但不支援Windows XP 64位。
注意:所有5.x版本均支援Windows Vista 32位。Cisco VPN客戶端5.0.07版新增了64位支援。
問:我是否需要成為Windows NT/2000電腦上的管理員才能載入VPN客戶端?
答:是,您必須具有管理員許可權才能在Windows NT和Windows 2000上安裝VPN客戶端,因為這些作業系統需要管理員許可權才能繫結到現有的網路驅動程式或安裝新的網路驅動程式。VPN客戶端軟體是網路軟體。您必須具有管理員許可權才能安裝它。
問:Cisco VPN客戶端是否可以與同一台電腦上安裝的Microsoft Internet Connection Sharing(ICS)配合使用?
答:否,Cisco VPN 3000客戶端與同一台電腦上的Microsoft ICS不相容。必須先解除安裝ICS,然後才能安裝VPN客戶端。有關詳細資訊,請參閱準備在Microsoft Windows XP上安裝或升級到Cisco VPN客戶端3.5.x時禁用ICS。
雖然在同一台PC上安裝VPN客戶端和ICS並不起作用,但此安排確實有效。
問:我的VPN客戶端似乎只連線到特定地址。我運行Windows XP。我該怎麼辦?
A.驗證Windows XP中的內建防火牆是否已禁用。
問:Cisco VPN客戶端是否與Windows XP狀態防火牆相容?
A.此問題已解決。如需更多詳細資訊,請參閱Bug Toolkit中的Cisco Bug ID CSCdx15865(僅限註冊客戶)。
問:當我在Windows XP和Windows 2000上安裝VPN客戶端時,是否禁用了多使用者介面?
A.安裝會禁用歡迎螢幕和快速使用者切換。如需更多詳細資訊,請參閱Bug Toolkit中的Cisco錯誤ID CSCdu24073(僅限註冊客戶)。
問:如何在執行後將Linux的VPN客戶端移到後台?如果我啟動連線(例如vpnclient connect foo),則我進入,但會返回shell。
A.登入後,鍵入:
^Z
bg
問:在Windows XP Home Edition上安裝Cisco VPN客戶端時,工作列不可見。如何撤消此操作?
A.選擇控制面板>網路連線>刪除網橋以調整此設定。
問:當我嘗試在RedHat 8.0上安裝Linux VPN客戶端時,收到一個錯誤,指出無法載入該模組,因為該模組是使用GCC 2編譯的,而核心是使用GCC 3.2編譯的。我該怎麼辦?
答:這是因為新版本的RedHat具有較新版本的GCC編譯器(3.2+),這會導致當前的Cisco VPN客戶端失敗。此問題已修復,可在Cisco VPN 3.6.2a中找到。在Bug Toolkit中檢視Cisco Bug ID CSCdy49082(僅限註冊客戶)以瞭解更多詳細資訊,或從VPN軟體中心下載軟體(僅註冊客戶)。
問:在Windows XP上安裝VPN客戶端3.1時,為什麼軟體會禁用快速使用者交換?
答:在登錄檔中指定GINA.dll時,Microsoft會自動禁用Windows XP中的快速使用者切換。思科VPN客戶端安裝CSgina.dll以實施「登入前啟動」功能。如果您需要快速使用者切換,請禁用「登入前啟動」功能。註冊使用者可在Bug Toolkit的Cisco Bug ID CSCdu24073 (僅限註冊客戶)中取得更多資訊。
問:IPsec VPN客戶端是否支援Windows 7上的登入前啟動(SBL)功能?
答:Windows7上的IPsec VPN客戶端不支援SBL功能。AnyConnect VPN客戶端支援此功能。
錯誤消息
問:安裝Cisco VPN Client 4.x時,我收到以下錯誤消息:警告201:所需的VPN子系統不可用。無法連線到遠端VPN伺服器
A.此問題可能是由在VPN客戶端電腦上安裝的防火牆軟體包引起的。為了避免出現此錯誤資訊,請確保安裝時您的PC上未安裝或運行任何防火牆或防病毒程式。
問:我升級至Mac OS X 10.3(稱為「Panther」),但現在我的Cisco VPN Client 4.x顯示以下錯誤消息:由客戶端在本地終止的安全VPN連線原因:無法聯絡安全網關
A.必須將UseLegacyIKEPort=0新增到Cisco VPN客戶端4.x的/etc/CiscoSystemsVPNClient/Profiles/目錄中的配置檔案(.pcf檔案),才能與Mac OS X 10.3(「Panther」)配合使用。
問:當我嘗試解除安裝VPN客戶端時,我收到以下錯誤消息:錯誤消息:找不到解除安裝檔案……此錯誤消息意味著什麼?如何成功完成解除安裝?
A.檢查網路控制面板,確保未安裝Deterministic NDIS Extender(DNE)。此外,選擇Microsoft > Current Version > Uninstall以檢查解除安裝檔案。刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5}文件,然後重試解除安裝。
問:我無法在Windows 2000 Professional上安裝VPN客戶端。我收到以下錯誤:無法安裝安裝支援檔案。災難性故障。我該怎麼辦?
A.刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall金鑰。然後重新啟動電腦,並重新安裝VPN客戶端。
注意:若要在路徑HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<key to be determined>下找到Cisco VPN客戶端軟體的正確金鑰,請轉到HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\,然後按一下VPN Client。在右側視窗中,檢視「解除安裝路徑」(在「名稱」列下)。 相應的Data列顯示VPN客戶端金鑰值。請注意此金鑰,轉到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\,選擇確定的金鑰,然後將其刪除。
如需詳細資訊,請參閱Bug
Toolkit中的初始化錯誤疑難排解,並參閱Cisco錯誤ID CSCdv15391(僅限註冊客戶)。
問:當我嘗試在RedHat 8.0上安裝Linux VPN客戶端時,收到一個錯誤,指出無法載入該模組,因為該模組是使用GCC 2編譯的,而核心是使用GCC 3.2編譯的。我該怎麼辦?
A.之所以會出現此問題,是因為新版本的RedHat具有較新版本的GCC編譯器(3.2+),這會導致當前的Cisco VPN Client失敗。此問題已修復,可在Cisco VPN 3.6.2a中找到。在Bug Toolkit中檢視Cisco錯誤ID CSCdy49082 (僅供註冊客戶使用)以瞭解更多詳細資訊,或從VPN軟體中心(僅供註冊客戶使用)下載軟體。
問:當我的Linux客戶端3.5嘗試建立到PIX或VPN 3000集中器的IPsec連線時,我收到「對等體不再響應」錯誤消息。我該怎麼辦?
答:此問題的症狀是Linux客戶端似乎嘗試連線,但從未從網關裝置收到響應。
Linux作業系統具有內建防火牆(ipchain),可阻止UDP埠500、UDP埠1000和封裝安全負載(ESP)資料包。由於防火牆在預設情況下處於開啟狀態,您必須禁用防火牆或開啟入站和出站連線的IPsec通訊埠以解決問題。
問:當我嘗試在Mac OS X 10.3上運行Cisco VPN 5000 5.2.2客戶端時,收到核心擴展錯誤。我該怎麼做?
A.如產品發行說明所述,Cisco VPN 5000客戶端在版本10.1.x之前受支援,因此版本10.3不支援。如果在運行安裝指令碼後重設兩個已安裝檔案的許可權,則可以使VPN客戶端工作。以下是範例:
注意:思科不支持此配置。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
問:我無法安裝新版本的Cisco VPN客戶端。安裝時,我收到以下錯誤消息之一:"Error DNEinst execution error while installing DNE, return code -214650093"或"InstallDNE Error:安裝DNE時出現DNEinst執行錯誤,returncode -2147024891。" 當我安裝Deterministic Network Enhancer時會出現此問題。
A.從確定性網路安裝最新的DNE升級
問:建立連線時,我獲得Cisco VPN客戶端的這些日誌:
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015
Value for ini parameter VAEnableAlt is 1.
209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003
Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558)
210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C
The Client was unable to enable the Virtual Adapter because it could not open the device.
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015 Value for ini parameter VAEnableAlt is 1. 209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003 Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558) 210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C The Client was unable to enable the Virtual Adapter because it could not open the device.
答:這是一個相當一般的錯誤消息,通常需要手動解除安裝客戶端。請遵循此連結中的說明。刪除隨MSI安裝程式安裝的VPN客戶端版本。
解除安裝完成後,請確保重新啟動。然後重新安裝客戶端。確保您以具有本地電腦管理許可權的使用者身份登入。
問:當我嘗試連線Mac OS上的Cisco VPN客戶端時,收到以下錯誤消息:錯誤51 — 無法與VPN子系統通訊。如何解決此問題?
A.如果以以下方式關閉VPN客戶端後重新啟動服務,則問題可以解決:
停止:
sudo kextunload -b com.cisco.nke.ipsec開始:
sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPN此外,請檢驗在安裝VPN客戶端的同一台電腦上運行的以下命令,並禁用該命令。
任何虛擬軟體(如VMWare Fusions、Parallels、交叉程式)。
任何防病毒/防火牆軟體。
VPN客戶端與64位作業系統的相容性;請參閱Cisco VPN客戶端發行說明。
問:我明白「理由442:無法啟用虛擬介面卡「 」錯誤。如何解決此錯誤?
A.原因442:在Vista報告檢測到重復的IP地址後,出現「failed to enable virtual adapter(無法啟用虛擬介面卡)」錯誤。後續連線因同一消息而失敗,但Vista不報告檢測到重複的IP地址。有關如何解決此問題的詳細資訊,請參閱Windows Vista上的重複IP地址觸發器錯誤442。
問:當我安裝Cisco VPN客戶端時,收到Deterministic Network Enhancer Add Plugin Failed錯誤。如何解決此錯誤?
A.安裝DNE適配器可能解決此問題。最好使用Installshield版本進行安裝,而不是MSI。
問:我收到以下錯誤:原因442:無法啟用虛擬介面卡。如何解決此問題?
A.在Windows 7和Windows Vista報告檢測到重複的IP地址後,出現此錯誤。後續連線因同一消息而失敗,但作業系統不報告檢測到重複的IP地址。有關如何解決此問題的詳細資訊,請參閱Windows 7和Vista上的重複IP地址觸發器錯誤442。
問:當我嘗試啟動用於MAC OS 10.6的VPN Client 4.9時,收到以下錯誤:錯誤51:無法與vpn子系統通訊。如何解決此問題?
A.之所以會出現此問題,是因為Cisco VPN client for MAC OS 4.9版不支援64位支援。作為解決方法,您可以在32位核心模式下啟動。如需更多資訊,請參閱Cisco錯誤ID CSCth11092(僅限註冊客戶)和Cisco VPN client for MAC OSX版本說明。
第三方相容性
問:Nortel客戶端是否與Cisco VPN 3000集中器相容?
答:否。Nortel客戶端無法連線到Cisco VPN 3000集中器。
問:是否可以同時安裝Nortel Contivity VPN Client等其他供應商的VPN客戶端?
答:否。當多台VPN客戶端安裝在同一PC上時,存在已知問題。
問:第三方VPN集中器是否支援Cisco VPN客戶端?
答:第三方VPN集中器不支援Cisco VPN客戶端。
驗證
問:Cisco VPN客戶端1.1版和3.x版如何內部儲存數位證書(X.509v3)?
A. Cisco VPN Client 1.1有自己的證書儲存。Cisco VPN Client 3.x可以使用通用應用程式程式設計介面(CAPI)將證書儲存在Microsoft應用商店中,也可以將它們儲存在思科自己的應用商店(RSA Data Security)中。
問:我是否可在VPN集中器上擁有相同的組名和使用者名稱?
A.否,組名和使用者名稱不能相同。這是一個已知問題,發現於軟體版本2.5.2和3.0,並整合到3.1.2中。如需詳細資訊,請參閱Bug工具組中的Cisco錯誤ID CSCdw29034(僅限註冊客戶)。
問:在Cisco VPN客戶端上是否支援PIX的全質詢卡(如Defender)?
A.否,不支援此型別的卡。
VPN使用者端軟體版本
問:Cisco VPN客戶端2.5.2及更低版本中的「設定MTU實用程式」選項發生了什麼情況?
A. Cisco VPN客戶端現在調整最大傳輸單位(MTU)大小。Set MTU Utility選項不再是必需的安裝步驟。Set MTU選項主要用於排除連線問題。為Windows電腦選擇SetMTU選項的路徑為開始>程式> Cisco Systems VPN客戶端> SetMTU。有關SetMTU選項和在其他作業系統中設定此選項的詳細資訊,請參閱通過SetMTU選項更改MTU大小。
問:4.0以上版本的Cisco VPN客戶端GUI支援哪些語言?
A. Cisco VPN客戶端GUI版本4.0以後支援的語言為加拿大、法語和日語。
問: Cisco VPN客戶端支援哪些個人防火牆?
A.為提供更高級別的安全性,VPN客戶端可以強制執行受支援的防火牆的操作,或者接收用於網際網路繫結流量的向下推送狀態防火牆策略。
目前,VPN客戶端5.0支援以下個人防火牆:
BlackIce Defender
思科安全代理
Sygate個人防火牆
Sygate個人防火牆Pro
Sygate安全代理
區域警報
ZoneAlarmPro
從3.1版開始,VPN 3000集中器新增了一項功能,可檢測遠端使用者安裝了什麼個人防火牆軟體,並在沒有相應軟體的情況下阻止使用者連線。選擇Configuration > User Management > Groups > Client FW,然後按一下組的頁籤以配置此功能
有關在Cisco VPN客戶端電腦上實施防火牆策略的詳細資訊,請參閱防火牆配置方案。
問:將思科VPN客戶端3.x與AOL 7.0配合使用時是否存在連線問題?
A.如果不使用分割隧道,Cisco VPN客戶端無法與AOL 7.0配合使用。檢視Bug Toolkit中的Cisco錯誤ID CSCdx04842 (僅限註冊客戶)以瞭解更多詳細資訊。
VPN客戶端軟體配置
問:為什麼Cisco VPN客戶端在30分鐘後斷開連線?我可以延長此時間段嗎?
A.如果在此30分鐘時間內使用者連線上沒有通訊活動,則系統終止連線。預設空閒超時設定為30分鐘,最小允許值為1分鐘,最大允許值為2,147,483,647分鐘(超過4,000年)。
選擇Configuration > User Management > Groups,然後選擇適當的組名稱以修改空閒超時設定。選擇Modify Group,按一下HW Client頁籤,然後在User Idle Timeout欄位中鍵入所需的值。鍵入0可禁用超時並允許無限制的空閒時間。
問:是否可以在預配置所有引數的情況下部署Cisco VPN客戶端?
A.如果vpnclient.ini檔案在首次安裝時與VPN客戶端軟體捆綁在一起,則會在安裝期間自動配置VPN客戶端。您也可以將配置檔案(每個連線條目一個.pcf檔案)作為預配置的連線配置檔案進行分發,以便進行自動配置。要將VPN客戶端軟體的預配置副本分發給使用者進行安裝,請完成以下步驟:
將VPN客戶端軟體檔案從分發CD-ROM複製到您為一組使用者建立vpnclient.ini(全域性)檔案和獨立連線配置檔案的每個目錄中。
注意:對於Mac OS X平台,在安裝VPN客戶端之前,預配置的檔案將放置在「配置檔案」和「資源」資料夾中。vpnclient.ini檔案位於安裝程式目錄中。必須將自定義vpnclient.ini檔案放在VPN客戶端安裝程式目錄中,該檔案與「配置檔案」和「資源」資料夾處於同一級別。有關詳細資訊,請參閱《Mac OS X的VPN客戶端使用手冊》的第2章
準備並分發捆綁軟體。CD-ROM或網路分佈。確保vpnclient.ini檔案和配置檔案與所有CD-ROM映像檔案位於同一目錄中。您可以讓使用者通過網路連線從此目錄進行安裝;或者,您可以將所有檔案複製到新的CD-ROM中進行分發;或者,您可以建立一個自解壓ZIP檔案,該檔案包含此目錄中的所有檔案,並讓使用者下載該檔案,然後安裝軟體。
向使用者提供任何其他必要的配置資訊和說明。有關您的平台,請參閱VPN客戶端使用手冊的第2章。
問:Cisco VPN客戶端似乎與我的NIC卡衝突。如何對此進行故障排除?
A.確保在NIC卡上運行最新的驅動程式。始終建議這樣做。如果可能,測試以檢視問題是否特定於作業系統、PC硬體和其他NIC卡。
問:如何通過撥號網路自動連線Cisco VPN客戶端?
A.選擇Options > Properties > Connections,然後使Cisco VPN客戶端下拉撥號網路電話簿條目,以便完全自動撥號到VPN連線。
問:如何配置Cisco VPN 3000集中器以通知遠端使用者進行VPN客戶端更新?
A.您可以通知VPN客戶端使用者在其遠端系統上更新VPN客戶端軟體。有關逐步方法,請參閱通知遠端使用者客戶端更新。請按照此過程的第7步所述,確保將發佈資訊鍵入為「(Rel)」。
問:什麼原因會導致出現Cisco VPN客戶端之前的延遲,尤其是啟用「登入前啟動」選項時?
A. Cisco VPN客戶端處於回退模式。這導致了延遲。在回退模式下,VPN客戶端在使用登入前啟動時執行的方式有所不同。在回退模式下操作時,VPN客戶端不會檢查是否已啟動必要的Windows服務。因此,如果啟動速度過快,VPN連線可能會失敗。解除安裝Cisco VPN客戶端,並刪除有問題的應用程式,以允許啟動而不處於「回退」模式。然後重新安裝Cisco VPN客戶端。有關回退模式的詳細資訊,請參閱登入前啟動。
如需詳細資訊,請參閱Bug工具組中的Cisco錯誤ID CSCdt88922 (僅限註冊客戶)和CSCdt55739 (註冊客戶only)。
問:我需要瞭解ipsecdialer.exe和vpngui.exe之間的區別。為什麼Windows XP中的STARTUP中安裝了vpngui.exe,但我仍然必須手動啟動ipsecdialer才能訪問我的公司資源?而且(除了規模以外),這些程式似乎引發了同樣的事情:通過VPN登入我的公司網路。
A. ipsecdialer.exe是Cisco VPN客戶端3.x版的原始啟動機制。在4.x版本中更改GUI時,建立了一個名為vpngui.exe的新執行檔。ipsecdialer.exe檔案是以名稱結轉的,只是為了向後相容,並且只啟動vpngui.exe。這就是您可以看到檔案大小差異的原因。
因此,當您從Cisco VPN客戶端的4.x版降級到3.x版時,需要ipsecdialer.exe檔案來啟動它。
問:是否可以安全地刪除啟動VPN圖示?為什麼需要它?
A.啟動資料夾中的Cisco VPN客戶端支援「登入前啟動」功能。如果不使用此功能,則啟動資料夾中不需要此功能。
問:為什麼新增了「user_logon」而沒有ipsecdialer.exe快捷方式?「使用者登入」的用途是什麼?
A. 「登入前啟動」功能需要「user_logon」,但使用者正常啟動Cisco VPN客戶端時不需要此功能。
NAT/PAT問題
問:我遇到一個問題,即只有一個VPN客戶端(3.3版及更低版本)能夠通過埠地址轉換(PAT)裝置進行連線。我該如何緩解此問題?
A.幾個網路位址轉譯(NAT)/PAT實作中發生錯誤,導致無法轉譯小於1024的連線埠。在Cisco VPN Client 3.1上,即使啟用了NAT透明性,網際網路安全關聯和金鑰管理協定(ISAKMP)會話仍使用UDP 512。第一個VPN客戶端通過PAT裝置並將源埠512保留在外部。當第二個VPN客戶端連線時,埠512已在使用中。嘗試失敗。
有三種可能的解決方法。
修復PAT裝置。
將VPN客戶端升級到3.4,並使用TCP封裝。
安裝取代所有VPN客戶端的VPN 3002。
問:兩檯筆記型電腦是否可以從同一位置連線到Cisco VPN客戶端?
答:只要客戶端不在執行PAT的裝置(如SOHO路由器/防火牆)的後面,則兩個客戶端可以從同一位置連線到同一頭端。許多PAT裝置可以將一個VPN連線對映到其後面的客戶端,但不能將兩個VPN連線對映到後方的客戶端。為了允許兩個VPN客戶端從PAT裝置後的同一位置連線,請在前端啟用某種封裝,例如NAT-T、IPSec over UDP或IPsec over TCP。通常,如果客戶端和頭端之間有NAT裝置,則應啟用NAT-T或其他封裝。
其他
問:當我使用筆記型電腦連線到辦公室中的網路,然後將筆記型電腦帶回家時,我在家連線到VPN 3000集中器時遇到問題。有什麼問題?
A.筆記本電腦可能保留來自LAN連線的路由資訊。有關如何解決此問題的資訊,請參閱具有Microsoft路由問題的VPN客戶端。
問:如何得知VPN客戶端是否連線到VPN集中器?
A.檢查名為HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished的登錄檔項。如果隧道處於活動狀態,則值為1。如果沒有隧道,則值為0。
問:從VPN集中器後面的PC到VPN客戶端的NetMeeting連線有問題,但從PC到VPN集中器後面的VPN客戶端運行時,該連線會工作。如何解決此問題?
A.請執行此處列出的相應步驟以控制連線設定:
在PC的主驅動器上,選擇Program Files > Cisco Systems > VPN Client > Profiles。按一下右鍵您使用的配置檔案,然後選擇開啟方式以在文本編輯器(如記事本)中開啟配置檔案。(選擇要使用的程式時,請務必取消選中Always use this program to open these files框。) 找到ForcekeepAlives的配置檔案引數,將值從0更改為1,然後儲存配置檔案。
或
對於VPN客戶端,選擇Options > Properties > General,然後輸入「Peer response timeout」的值,如本示例視窗所示。可以指定30秒到480秒的超時敏感度。
或
對於VPN集中器,請選擇Configuration > User Management > Groups > modify group。在IPsec頁籤上,為IKE Keepalive選擇選項,如以下示例視窗所示。
失效對等項檢測(DPD)間隔會因靈敏度設定而異。一旦沒有收到響應,它就會進入更加主動的模式,每五秒傳送一次資料包,直到達到對等體響應閾值。此時,連線已斷開。您可以停用keepalive,但如果連線實際捨棄,則需要等待逾時。思科建議您最初將敏感度值設定得非常低。
問:Cisco VPN客戶端是否支援雙重身份驗證?
答:否。Cisco VPN客戶端不支援雙重身份驗證。
問:如何配置Cisco VPN客戶端以主模式而不是主動模式連線?
答:必須使用數位簽章(證書)才能允許Cisco VPN客戶端在主模式下連線。實現此目標的方法有兩種:
從路由器和所有Cisco VPN客戶端上的第三方證書提供商(例如Verisign或Entrust)獲取CA證書。註冊來自同一CA伺服器的身份證書,並使用數位簽章作為Cisco VPN客戶端和路由器之間的身份驗證方式。有關此配置的詳細資訊,請參閱使用委託證書在Cisco IOS路由器和Cisco VPN客戶端之間配置IPSec。
第二個選項是將路由器配置為CA伺服器以及遠端訪問VPN的頭端。安裝證書(以及其他所有內容)將保持先前的連結中所述不變,但路由器將充當CA伺服器。如需詳細資訊,請參閱在集線器上使用IOS CA的Cisco IOS路由器之間的動態LAN到LAN VPN組態範例。
問:如何將VPN客戶端訪問檔案中的所需引數設定為只讀?
A.為每個使用者在.pcf檔案中每個引數的前面新增感歎號(!),以使引數為只讀。
VPN客戶端中的使用者無法更改以感歎號(!)開頭的引數的值。GUI中這些值的欄位將呈灰色顯示(只讀)。
以下是組態範例:
原始.pcf檔案
[main] Description=connection to TechPubs server Host=10.10.99.30 AuthType=1 GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85 1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= Username=alice已更改.pcf檔案
[main] !Description=connection to TechPubs server !Host=10.10.99.30 AuthType=1 !GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C 851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= !Username=alice在本示例中,使用者無法更改Description、Host、GroupName和Username值。
問:是否可以根據MAC地址限制/限制VPN客戶端訪問?
答:否。無法根據MAC地址限制/限制VPN客戶端的訪問。
意見