Cisco VPN 5000 Concentrator e client - Domande frequenti

Introduzione

Questo documento risponde alle domande frequenti su Cisco VPN serie 5000 Concentrator e Cisco VPN 5000 Client.

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

D. Perché viene visualizzato il messaggio di errore "ERROR: InitSTEP restituito. Impossibile trovare l'errore "STEP VxD" nel client VPN 5000 per Windows XP e come risolvere il problema?

R. Questo errore si verifica quando non è possibile associare il client VPN o quando i servizi VPN necessari non sono accessibili. Il client VPN 5000 per Windows XP include un programma di installazione che avvia automaticamente un programma per installare il driver di rete. Se il programma non riesce per qualche motivo, utilizzare questa procedura per installare manualmente il driver di rete.

1. Installare il software VPN Client utilizzando la sezione Installazione del client VPN per Windows XP.
2. Accedere al sistema come amministratore o come utente con privilegi di amministratore.
3. Selezionare Start > Impostazioni > Rete e connessioni Internet > Connessioni di rete.
4. Fare doppio clic sulla Connessione alla rete locale (LAN) appropriata.
5. Fare clic su Proprietà.
6. Fare clic su Installa.
7. Selezionare Servizio.
8. Fare clic su Add.
9. Fare clic su Disco driver.
10. Immettere il percorso della cartella in cui risiedono i file netcs.inf, netcs_m.inf e step.sys. Nella maggior parte dei casi si tratta della stessa cartella del file di installazione del client VPN.
11. Fare clic su OK per installare il driver.
12. Una volta installato il driver, chiudere la finestra Rete e connessioni remote.
13. Riavviare il computer.

D. VPN 5000 Concentrator supporta il client VPN nativo disponibile in Macintosh OS 10.3 (noto anche come Panther)?

R. VPN 5000 Concentrator non è stato testato con sistemi operativi diversi da Macintosh 10.1.5. Non è possibile richiedere supporto per la release di Panther. Non è mai stato considerato nel contesto di VPN 5000 Concentrator, ma solo per quello di Cisco VPN Client. Se è necessario il supporto di sistemi operativi successivi, valutare la possibilità di passare al client VPN Cisco. Inoltre, il client VPN nativo nella versione 10.3 è IPSec over Layer 2 Tunneling Protocol (L2TP), che non è supportato nel concentratore VPN 5000.

D. Viene visualizzato un errore di estensione del kernel quando si tenta di eseguire Cisco VPN 5000 5.2.2 Client su Macintosh OS X 10.3. Cosa è necessario fare?

R. Come indicato nelle note di rilascio per Cisco VPN 5000 Client versione 5.2.3 per Macintosh Operating System (OS) X, il client Cisco VPN 5000 è supportato fino alla versione 10.1.x. Non è supportato nella versione 10.3. È tuttavia possibile far funzionare il client VPN. Reimpostare le autorizzazioni per due dei file installati dopo l'esecuzione dello script di installazione. Questo output è un esempio.

Nota: questa configurazione non è supportata da Cisco.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

D. Quando si utilizza la funzione Connessione automatica predefinita prima dell'accesso con una connessione di accesso remoto, perché l'opzione Rubrica telefonica dell'utente è disattivata?

R. Questo problema si verifica in genere a causa di un'installazione parziale, errata o mancante del protocollo di registrazione, ammissione e stato (RAS) nel sistema. Anziché eseguire una reinstallazione nel client VPN, provare a disinstallare e reinstallare Windows RAS.

D. Cosa significa "ID errore = -1"?

R. Questo è un messaggio di errore del sistema operativo Macintosh che viene visualizzato quando il client VPN 5000 versione 10.0 è installato su Macintosh OS 10.1, che non è ancora supportato. L'errore indica una mancata corrispondenza del kernel. Per ulteriori informazioni sull'ID bug Cisco CSCdv57716, consultare il Bug Toolkit (solo utenti registrati). Ecco un esempio di errore:

D. Qual è il significato degli errori 0, 4, 6, 7 e 14?

A. Il presente elenco spiega il significato di tali termini:

• Errore 0: questo errore si verifica quando non è stata configurata alcuna sezione dei criteri IKE (Internet Key Exchange) per il concentratore VPN 5000 o se non è stata configurata una configurazione IKE per la configurazione del gruppo VPN.

• Errore 4. Nessuna risorsa VPN disponibile sul concentratore VPN 5000. Ciò significa che il concentratore VPN 5000 ha raggiunto il numero massimo di connessioni per questo gruppo. Può inoltre indicare che la configurazione contiene un oggetto LocalIPNet con una sintassi non corretta, ad esempio "LocalIPNet=204.144.171.64" (dovrebbe essere definita una maschera /26 o un'altra maschera).

• Errore 6: se il concentratore VPN 5000 è stato configurato per un nome utente "Bob" e l'utente inserisce "bob" (con la password corretta), VPN 5000 Concentrator restituisce un errore 6 del server VPN. Se l'utente inserisce "Bob" e la password errata, VPN 5000 Concentrator restituisce anche un errore 6. Se il concentratore VPN 5000 esegue il codice DES e tenta di utilizzare una trasformazione 3DES, ad esempio ESP (MD5, 3DES), viene restituito l'errore 6 alla VPN 5000 Cliente. Il codice non-export (3DES) ha una "US" dopo di esso (ad esempio, versione 5.0US) ed è in grado di utilizzare i metodi di cifratura 3DES. Tutti i Cisco VPN 5000 concentrator sono forniti con codice DES. Eliminare la trasformazione 3DES e utilizzarne un'altra se si utilizza solo il codice DES.

• Errore 7: questo errore indica che il concentratore VPN 5000 è configurato con un criterio IKE attualmente inattivo per la versione del codice. Attualmente, per il codice versione 5.x, tutte le policy 3DES e G2 sono inattive. Rimuoverli e impostare il criterio IKE su MD5_DES_G1 o SHA_DES_G1.

• Errore 14 - Si tratta di un errore RADIUS in cui VPN 5000 Concentrator non riceve le informazioni corrette dal server RADIUS per consentire il login al client VPN 5000.

• Prodotti interessati:

  • Windows 95-98 VPN Client per Cisco VPN serie 5000 Concentrator

  • Client VPN Windows NT 4.0 per Cisco VPN serie 5000 Concentrator

  • Macintosh Operating System (OS) VPN Client per Cisco VPN serie 5000 Concentrator

  • Client VPN Linux Kernel 2.2.5 per Cisco VPN serie 5000 Concentrator

  • SPARC Solaris VPN Client per Cisco VPN serie 5000 Concentrator

  • Cisco VPN 5001 Concentrator

  • Cisco VPN 5002 Concentrator

  • Cisco VPN 5008 Concentrator

• Versioni interessate:

  • Tutte le versioni 5.x

D. Quali sono i problemi del router Linksys® con i client IPSec?

R. I router Linksys® supportano le connessioni IPSec solo sulle versioni del firmware 1.34 o successive (la versione 1.39 è la più recente). Il pass-through IPSec deve essere abilitato sul router Linksys®.

D. Quali sono i caratteri consentiti quando si specifica un nome utente per il client VPN 5000?

R. Il nome utente e il dominio fanno distinzione tra maiuscole e minuscole e possono contenere da 1 a 60 caratteri alfanumerici. Il simbolo @ è incluso. Per ulteriori informazioni, fare riferimento a Utenti VPN.

Nome utente non valido (il carattere "-" non è valido):

[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

D. Quanti utenti interni possono essere definiti sul concentratore VPN 5000?

R. Si consiglia sempre di utilizzare l'autenticazione RADIUS o SDI (Secure ID) per implementazioni di grandi dimensioni. Il numero di utenti interni dipende dalle dimensioni della configurazione. La dimensione massima della configurazione è 65.500 byte. Per verificare questa condizione, esaminare l'ultima riga dell'output del comando show configuration. Ad esempio:

Configuration size is 6732 out of 65500 bytes.

D. Quanti tunnel possono essere configurati sui router VPN 5001, VPN 5002 e VPN 5008?

R. VPN 5001 Concentrator può supportare fino a 1.500 tunnel, VPN 5002 Concentrator fino a 10.000 tunnel e VPN 5008 Concentrator fino a 40.000 tunnel per scheda di linea.

D. Cosa visualizzano i comandi modinfo e dmesg?

A. Il comando modinfo visualizza il tipo e il numero di moduli caricati. Il comando dmesg visualizza i messaggi syslog di avvio.

D. Come rimuovere completamente il client Linux®?

R. Al momento dell'installazione, questi file vengono creati o inseriti nel sistema:

• /etc/vpn_config: si consiglia di mantenere questa configurazione perché è quella del client VPN 5000.

• /etc/rc.d/init.d/vpn: script della fase di avvio che carica il modulo kernel "vpnmod".

• /etc/rc.d/rc3.d/s85.vpn: collegamento a /etc/rc.d/init.d/vpn.

• /etc/rc.d/rc5.d/s85.vpn: collegamento a /etc/rc.d/init.d/vpn.

• /usr/local/bin/open_tunnel: consente di aprire la connessione al tunnel.

• /usr/local/bin/close_tunnel: chiude il tunnel.

• /usr/local/bin/vpn_control: questo è uno strumento di risoluzione dei problemi utilizzato per attivare i flag di debug. Viene utilizzato principalmente per lo sviluppo.

• /lib/modules/<kernelversion>/COMPvpn/vpnmod: modulo del kernel. Eseguire il comando uname -r per determinare la <kernelversion>.

Se si eliminano questi file, quindi si riavvia, il client viene effettivamente disinstallato. In alternativa, è possibile eseguire /usr/local/bin/close_tunnel e /etc/rc.d/init.d/vpnstop, quindi eliminare i file sopra indicati.

Il file /etc/vpn_config è la configurazione del client. Contiene le informazioni relative al server, al nome utente e alla password. Se si intende reinstallare il client VPN, si consiglia di conservare una copia di questo file.

D. Il software VPN 5000 Client può essere installato sulla stessa confezione di Nortel® Extranet Access Client o di altri client? È supportato?

R. Cisco VPN Client versione 4.0 e successive può coesistere. Fare riferimento alla sezione Coesistenza con fornitori VPN di terze parti nelle note sulla versione per i client VPN, versione 4.0.

D. È disponibile una versione DES di Macintosh OS X?

R. No, ma è disponibile una versione 3DES.

D. Quali sono le indicazioni che il concentratore VPN 5002 funziona a caldo?

R. Se il LED di temperatura eccessiva su una scheda ESP (Extended Services Processor) del concentratore VPN 5002 è acceso o se l'unità presenta altri problemi di temperatura, è possibile che il filtro dell'aria incorporato sia intasato da sporcizia e impedisca il flusso dell'aria. Per sostituire il filtro dell'aria, consultare Sostituzione del filtro dell'aria per ulteriori istruzioni.

D. È possibile supportare le sessioni H.323 utilizzando il software VPN 5001 Concentrator e VPN 5000 Client versione 5.1.7?

R. No, non possono essere supportati perché l'indirizzo IP è incorporato nella parte dati del pacchetto. Il client VPN 5000 non può accedere a questo indirizzo o modificarlo.

D. In una situazione da LAN a LAN con un concentratore VPN 5000 su un router Cisco IOS®, noto che dopo un'ora la rigenerazione delle chiavi non è sincronizzata tra loro. Come posso risolvere il problema?

R. Questo problema viene in genere risolto impostando "keymanage=affidabile" sulla configurazione di VPN 5000 Concentrator. Tuttavia, non funziona quando il dispositivo Cisco IOS ha un indirizzo IP dinamico.

D. Cosa significa "<local7.warn>macvpn fTCP ERR: Next_proto sconosciuto, 69 da 172.21.139.5" messaggio di errore?

R. Il messaggio falso TCP (fTCP) viene visualizzato quando il VPN Concentrator riceve un pacchetto con porta 80 e, dopo aver rimosso le intestazioni, non ha trovato un pacchetto ESP. VPN Concentrator accetta solo pacchetti IPSec (ESP) e qualsiasi altra informazione viene scartata. Quando il worm Code Red è stato rilasciato su Internet, questo avviso ha riempito il buffer syslog su molti computer dei clienti. Questo messaggio di errore può indicare che il computer è infetto e sta tentando di accedere a VPN 5000 Concentrator, tramite la porta fTCP.

Informazioni correlate

• Cisco VPN serie 5000 concentrator: annuncio di fine vendita
• Pagina di supporto per Cisco VPN serie 5000 concentrator
• Pagina di supporto per i client Cisco VPN 5000
• Pagina di supporto per IPSec (IP Security Protocol)
• Supporto tecnico – Cisco Systems