Preguntas frecuentes sobre el concentrador VPN 5000 y el cliente de Cisco

Introducción

Este documento aborda preguntas frecuentes sobre Cisco VPN 5000 Series Concentrator y Cisco VPN 5000 Client.

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

P. ¿Por qué recibo el "ERROR: InitSTEP devuelto. No se puede encontrar el error STEP VxD" en el VPN 5000 Client para Windows XP y ¿cómo se soluciona esto?

A. Este error ocurre cuando el VPN Client no puede ser enlazado o los servicios VPN necesarios no son accesibles. El VPN 5000 Client para Windows XP incluye un programa de instalación que inicia automáticamente un programa para instalar el controlador de red. Si el programa falla por cualquier motivo, utilice este procedimiento para instalar manualmente el controlador de red.

1. Instale el software VPN Client usando la sección Instalación del Cliente VPN para Windows XP.
2. Inicie sesión en el sistema como administrador o como usuario con privilegios de administrador.
3. Seleccione Inicio > Configuración > Conexiones de red e Internet > Conexiones de red.
4. Haga doble clic en la conexión de área local correspondiente.
5. Haga clic en Properties (Propiedades).
6. Haga clic en Install.
7. Seleccione Servicio.
8. Haga clic en Add (Agregar).
9. Haga clic en Tener disco.
10. Introduzca la ruta de acceso a la carpeta en la que residen los archivos netcs.inf, netcs_m.inf y step.sys. En la mayoría de los casos, esta es la misma carpeta que el archivo de instalación de VPN Client.
11. Haga clic en Aceptar para instalar el controlador.
12. Una vez instalado el controlador, cierre la ventana Conexiones de red y de acceso telefónico.
13. Reinicie el ordenador.

P. ¿El concentrador VPN 5000 admite el cliente VPN nativo que se encuentra en Macintosh OS 10.3 (también conocido como Panther)?

A. El concentrador VPN 5000 no se ha probado con nada más allá del sistema operativo Macintosh (OS) 10.1.5. No se puede solicitar soporte para la liberación de Panther. Nunca se ha visto en el contexto del VPN 5000 Concentrator, sólo para el Cisco VPN Client. Si se necesita soporte posterior del sistema operativo, considere la posibilidad de pasar al Cisco VPN Client. Además, el cliente de VPN nativo en 10.3 es IPSec sobre el protocolo de túnel de capa 2 (L2TP), que no se admite en el concentrador VPN 5000.

P. Recibo un error de extensión del kernel cuando intento ejecutar Cisco VPN 5000 5.2.2 Client en Macintosh OS X 10.3. ¿Qué debo hacer?

A. Como se indica en las Release Notes para Cisco VPN 5000 Client versión 5.2.3 para Macintosh Operating System (OS) X, Cisco VPN 5000 Client es compatible hasta la versión 10.1.x. No es compatible con la versión 10.3. Sin embargo, es posible hacer que el VPN Client funcione. Restablezca los permisos en dos de los archivos instalados después de ejecutar el script de instalación. Este resultado es un ejemplo.

Nota: Cisco no admite esta configuración.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

P. Cuando utilizo la función Auto-Connect to Default Before Logon con una conexión de marcación manual, ¿por qué se atenúa la opción de la agenda telefónica del usuario?

A. La razón típica por la que ocurre esto es debido a una instalación parcial, incorrecta o faltante del protocolo de registro, admisión y estado (RAS) en el sistema. En lugar de realizar una reinstalación en VPN Client, intente desinstalar y reinstalar Windows RAS.

P. ¿Qué significa "ID de error = -1"?

A. Se trata de un mensaje de error del sistema operativo Macintosh (OS) que se produce cuando se instala la versión 10.0 del cliente VPN 5000 en el sistema operativo Macintosh 10.1, que aún no se admite. El error indica una discordancia del kernel. Refiérase al Bug Toolkit ( sólo clientes registrados) para buscar más información sobre el ID de bug Cisco CSCdv57716. Este es un ejemplo del error:

P. ¿Qué significan Error 0, Error 4, Error 6, Error 7 y Error 14?

A. Esta lista explica su significado:

• Error 0: este error se produce cuando no se ha configurado ninguna sección de política de intercambio de claves de Internet (IKE) para el concentrador VPN 5000 o si no se ha configurado una configuración IKE para esa configuración de grupo de VPN.

• Error 4: no hay recursos VPN disponibles en el concentrador VPN 5000. Esto significa que el VPN 5000 Concentrator ha alcanzado el máximo de conexiones para este grupo. También puede significar que la configuración contiene un LocalIPNet con una sintaxis incorrecta como "LocalIPNet=204.144.171.64" (debe haber una /26 u otra máscara definida).

• Error 6: si el concentrador VPN 5000 se configuró para un nombre de usuario "Bob" y el usuario lo coloca en "bob" (con la contraseña correcta), entonces el concentrador VPN 5000 devuelve un error de servidor VPN 6. Si el usuario introduce "Bob" y la contraseña incorrecta, el concentrador VPN 5000 también devuelve un Error 6. Si el concentrador VPN 5000 ejecuta código DES e intenta utilizar una transformación 3DES, como ESP (MD5, 3DES), el error 6 se devuelve al cliente VPN 5000. El código de no exportación (3DES) tiene un "US" después (por ejemplo, la versión 5.0US) y puede utilizar métodos de cifrado 3DES. Todos los Cisco VPN 5000 Concentrators se envían con código DES. Elimine la transformación 3DES y utilice otra si sólo utiliza código DES.

• Error 7: Este error significa que su concentrador VPN 5000 está configurado con una política IKE que actualmente está inactiva para la versión de código. Actualmente, para el código de la versión 5.x, todas las políticas 3DES y G2 están inactivas. Elimine estos y establezca la política IKE en MD5_DES_G1 o SHA_DES_G1.

• Error 14: Se trata de un error RADIUS en el que el VPN 5000 Concentrator no recibe la información correcta del servidor RADIUS para permitir que el VPN 5000 Client inicie sesión.

• Productos afectados:

  • Cliente VPN de Windows 95-98 para el concentrador Cisco VPN serie 5000

  • Cliente VPN de Windows NT 4.0 para el concentrador Cisco VPN 5000 Series

  • Cliente VPN del sistema operativo Macintosh (OS) para el concentrador Cisco VPN serie 5000

  • Linux Kernel 2.2.5 VPN Client para Cisco VPN 5000 Concentrator Series

  • SPARC Solaris VPN Client para Cisco VPN 5000 Concentrator Series

  • Concentrador Cisco VPN 5001

  • Concentrador Cisco VPN 5002

  • Concentrador Cisco VPN 5008

• Versiones Afectadas:

  • Todas las versiones 5.x

P. ¿Cuáles son los problemas del router de Linksys® con los clientes IPSec?

A. Los routers Linksys® admiten conexiones IPSec solamente en las versiones 1.34 o posteriores del firmware (1.39 es la última versión). El paso a través de IPSec se debe habilitar en el router de Linksys®.

P. ¿Cuáles son los caracteres permitidos cuando se especifica un nombre de usuario para VPN 5000 Client?

A. El nombre de usuario y el dominio distinguen entre mayúsculas y minúsculas y pueden tener entre 1 y 60 caracteres alfanuméricos combinados. Esto incluye el signo "at" (@). Refiérase a Usuarios de VPN para obtener más detalles.

Este nombre de usuario no es válido (el carácter "-" no es válido):

[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

P. ¿Cuántos usuarios internos se pueden definir en el VPN 5000 Concentrator?

A. Siempre se recomienda utilizar la autenticación RADIUS o Secure ID (SDI) para implementaciones grandes. El número de usuarios internos está sujeto al tamaño de su configuración. El tamaño máximo de configuración es de 65.500 bytes. Para ver esto, revise la última línea del resultado del comando show configuration. Por ejemplo:

Configuration size is 6732 out of 65500 bytes.

P. ¿Cuántos túneles se pueden configurar en los concentradores VPN 5001, VPN 5002 y VPN 5008?

A. El VPN 5001 Concentrator puede soportar hasta 1.500 túneles, el VPN 5002 Concentrator puede soportar hasta 10.000 túneles y el VPN 5008 Concentrator puede soportar hasta 40.000 túneles por tarjeta de línea.

P. ¿Qué muestran los comandos modinfo y dmesg?

A. El comando modinfo muestra qué módulos se cargan y cuántos se cargan. El comando dmesg muestra los mensajes de inicio de syslog.

P. ¿Cómo puedo eliminar completamente el cliente Linux®?

A. Al instalar, estos archivos se crean o se colocan en el sistema:

• /etc/vpn_config: se recomienda guardarlo porque es la configuración del cliente VPN 5000.

• /etc/rc.d/init.d/vpn: Este es el script de tiempo de arranque que carga el módulo del kernel "vpnmod".

• /etc/rc.d/rc3.d/s85.vpn: enlace a /etc/rc.d/init.d/vpn.

• /etc/rc.d/rc5.d/s85.vpn: enlace a /etc/rc.d/init.d/vpn.

• /usr/local/bin/open_tunnel: Esto abre la conexión del túnel.

• /usr/local/bin/close_tunnel: esto cierra el túnel.

• /usr/local/bin/vpn_control: Esta es una herramienta de solución de problemas que se utiliza para activar los indicadores de depuración. Se utiliza principalmente en el desarrollo.

• /lib/module/<kernelversion>/COMPvpn/vpnmod—Este es el módulo del kernel. Ejecute el comando uname -r para determinar <kernelversion>.

Si elimina estos archivos y, a continuación, reinicia, desinstale el cliente de forma eficaz. Alternativamente, puede ejecutar /usr/local/bin/close_tunnel y /etc/rc.d/init.d/vpnstop, y luego eliminar los archivos anteriores.

El archivo /etc/vpn_config es la configuración del cliente. Contiene la información del servidor, el nombre de usuario y la contraseña. Si planea reinstalar VPN Client, se recomienda que guarde una copia de este archivo.

P. ¿Puede existir el software VPN 5000 Client en la misma caja con Nortel® Extranet Access Client o cualquier otro cliente? ¿Esto es compatible?

A. Cisco VPN Client versión 4.0 y posteriores pueden coexistir. Consulte la sección Coexistencia con Proveedores de VPN de Terceros de Release Notes para VPN Client, Versión 4.0.

P. ¿Hay alguna versión DES disponible de Macintosh OS X?

A. No, pero hay una versión 3DES disponible.

P. ¿Cuáles son las indicaciones de que el VPN 5002 Concentrator se está ejecutando?

A. Si se enciende el LED Over Temp en una tarjeta Extended Services Processor (ESP) del VPN 5002 Concentrator o si hay otros problemas de temperatura con la unidad, puede ser que el filtro de aire integrado esté obstruido con suciedad e impidiendo el flujo de aire. Para sustituir el filtro de aire, consulte Sustitución del filtro de aire para obtener más instrucciones.

P. ¿Se pueden soportar sesiones H.323 usando el concentrador VPN 5001 y el software VPN 5000 Client versión 5.1.7?

A. No, no se pueden admitir porque la dirección IP está incrustada en la parte de datos del paquete. El VPN 5000 Client no puede acceder ni modificar esta dirección.

P. En una situación de LAN a LAN con un concentrador VPN 5000 a un router Cisco IOS®, observo que después de una hora el rekeying no se sincroniza entre ellos. Cómo puedo solucionar este problema

A. Este problema se suele resolver estableciendo "keymanage=fiable" en la configuración del VPN 5000 Concentrator. Sin embargo, no funciona cuando el dispositivo Cisco IOS tiene una dirección IP dinámica.

P. ¿Qué hace el "<local7.warn>macvpn fTCP ERR: ¿Se desconoce el mensaje de error next_proto, 69 de 172.21.139.5" significa?

A. El mensaje TCP falso (fTCP) aparece cuando el concentrador VPN recibe un paquete con el puerto 80 y, después de quitar los encabezados, no ha encontrado un paquete ESP. El concentrador VPN sólo toma paquetes IPSec (ESP) y se descarta cualquier otra cosa. Cuando el gusano Código Rojo fue liberado en Internet, esta advertencia llenó el búfer de syslog en muchas máquinas cliente. Este mensaje de error puede indicar que su máquina está infectada y está intentando acceder al concentrador VPN 5000, a través del puerto fTCP.

Información Relacionada

• Anuncio de fin de venta de los concentradores Serie VPN 5000 de Cisco
• Página de soporte técnico de Concentradores de VPN serie 5000 de Cisco
• Página de soporte para Cisco VPN 5000 Client
• Página de Soporte de IPSec (IP Security Protocol)
• Soporte Técnico - Cisco Systems