Perguntas frequentes sobre o Cisco VPN 5000 Concentrator e o cliente

Introduction

Este documento aborda as perguntas frequentes sobre o Cisco VPN 5000 Series Concentrator e o Cisco VPN 5000 Client.

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

P. Por que recebo o "ERRO: InitSTEP retornado. Não é possível encontrar o erro STEP VxD" no VPN 5000 Client para Windows XP e como corrijo isso?

A. Esse erro ocorre a qualquer momento em que o VPN Client não pode ser vinculado ou os serviços VPN necessários não estão acessíveis. O VPN 5000 Client para Windows XP inclui um programa de configuração que inicia automaticamente um programa para instalar o driver de rede. Se o programa falhar por qualquer motivo, use este procedimento para instalar manualmente o driver de rede.

1. Instale o software do VPN Client usando a seção Instalando o VPN Client para Windows XP.
2. Efetue login no sistema como administrador ou como um usuário com privilégios de administrador.
3. Selecione Iniciar > Configurações > Conexões de rede e de Internet > Conexões de rede.
4. Clique duas vezes na Conexão local apropriada.
5. Clique em Propriedades.
6. Clique em Instalar.
7. Selecione Serviço.
8. Clique em Add.
9. Clique em Com disco.
10. Digite o caminho para a pasta na qual os arquivos netcs.inf, netcs_m.inf e step.sys residem. Na maioria dos casos, essa é a mesma pasta do arquivo de instalação do VPN Client.
11. Clique em OK para instalar o driver.
12. Depois que o driver for instalado, feche a janela Conexões dial-up e de rede.
13. Reinicie o computador.

P. O VPN 5000 Concentrator suporta o Native VPN Client encontrado no Macintosh OS 10.3 (também conhecido como Panther)?

A. O VPN 5000 Concentrator não foi testado com nada além do Macintosh Operating System (OS) 10.1.5. Não é possível solicitar suporte para a versão Panther. Nunca foi analisado no contexto do VPN 5000 Concentrator, somente para o do Cisco VPN Client. Se for necessário suporte posterior ao SO, considere mudar para o Cisco VPN Client. Além disso, o Native VPN Client em 10.3 é IPSec sobre o Layer 2 Tunneling Protocol (L2TP), que não é suportado no VPN 5000 Concentrator.

P. Recebo um erro de extensão de kernel quando tento executar o Cisco VPN 5000 5.2.2 Client no Macintosh OS X 10.3. O que devo fazer?

A. Conforme declarado nas Release Notes do Cisco VPN 5000 Client Versão 5.2.3 para o Sistema Operacional Macintosh (OS) X, o Cisco VPN 5000 Client é suportado até a versão 10.1.x. Não é suportado na versão 10.3. No entanto, é possível fazer o VPN Client funcionar. Redefina as permissões em dois dos arquivos instalados após executar o script de instalação. Esta saída é um exemplo.

Observação: esta configuração não é suportada pela Cisco.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

P. Quando uso o recurso Conexão automática ao padrão antes do logon com uma conexão de discagem, por que a opção da agenda telefônica do usuário está desativada?

A. O motivo típico para isso ocorre devido a uma instalação parcial, incorreta ou ausente do protocolo RAS (Registration, Admission, and Status Protocol) no sistema. Em vez de executar uma reinstalação no VPN Client, tente desinstalar e reinstalar o RAS do Windows.

P. O que significa "ID de erro = -1"?

A. Esta é uma mensagem de erro do Sistema Operacional Macintosh que ocorre quando o VPN 5000 Client versão 10.0 está instalado no Macintosh OS 10.1, que ainda não é suportado. O erro é indicativo de uma incompatibilidade de kernel. Consulte o Bug Toolkit (somente clientes registrados) para obter mais informações sobre o bug da Cisco ID CSCdv57716. Este é um exemplo do erro:

P. O que significa Erro 0, Erro 4, Erro 6, Erro 7 e Erro 14?

A. Esta lista explica seus significados:

• Erro 0 — Este erro ocorre quando nenhuma seção de Política de Internet Key Exchange (IKE) foi configurada para o VPN 5000 Concentrator ou quando uma configuração de IKE não foi configurada para essa configuração de grupo de VPN.

• Erro 4 —Nenhum recurso VPN está disponível no VPN 5000 Concentrator. Isso significa que o VPN 5000 Concentrator atingiu o máximo de conexões para esse grupo. Também pode significar que a configuração contém um LocalIPNet com uma sintaxe inadequada como "LocalIPNet=204.144.171.64" (deve haver /26 ou outra máscara definida).

• Erro 6 — Se o VPN 5000 Concentrator foi configurado para um nome de usuário "Bob" e o usuário coloca "bob" (com a senha correta), o VPN 5000 Concentrator retorna um Erro 6 do Servidor VPN. Se o usuário inserir "Bob" e a senha errada, o VPN 5000 Concentrator também retornará um Erro 6. Se o VPN 5000 Concentrator executa o código DES e tenta usar uma transformação 3DES, como ESP (MD5, 3DES), o Erro 6 é retornado ao VPN 5000 Client. O código não exportado (3DES) tem um "US" após ele (por exemplo, versão 5.0US) e pode usar métodos de criptografia 3DES. Todos os Cisco VPN 5000 Concentrators são enviados com código DES. Exclua a transformação 3DES e use outra se usar apenas o código DES.

• Erro 7 — Este erro significa que o VPN 5000 Concentrator está configurado com uma política IKE que está atualmente inativa para a versão de código. Atualmente, para o código versão 5.x, todas as políticas 3DES e G2 estão inativas. Remova esses e defina a política IKE como MD5_DES_G1 ou SHA_DES_G1.

• Erro 14 — Este é um erro RADIUS no qual o VPN 5000 Concentrator não recebe as informações corretas do servidor RADIUS para permitir que o VPN 5000 Client faça login.

• Produtos afetados:

  • Cliente VPN Windows 95-98 para o Cisco VPN 5000 Concentrator Series

  • Cliente VPN Windows NT 4.0 para o Cisco VPN 5000 Concentrator Series

  • Cliente VPN do Sistema Operacional Macintosh para o Cisco VPN 5000 Concentrator Series

  • Cliente VPN Linux Kernel 2.2.5 para o Cisco VPN 5000 Concentrator Series

  • SPARC Solaris VPN Client para o Cisco VPN 5000 Concentrator Series

  • Cisco VPN 5001 Concentrator

  • Cisco VPN 5002 Concentrator

  • Cisco VPN 5008 Concentrator

• Versões Afetadas:

  • Todas as versões 5.x

P. Quais são os problemas do roteador Linksys® com clientes IPSec?

A. Os roteadores Linksys® suportam conexões IPSec somente nas versões de firmware 1.34 ou posterior (1.39 é a versão mais recente). A passagem IPSec deve ser habilitada no roteador Linksys®.

P. Quais são os caracteres permitidos quando você especifica um nome de usuário para o VPN 5000 Client?

A. O nome de usuário e o domínio diferenciam maiúsculas de minúsculas e podem conter entre 1 e 60 caracteres alfanuméricos combinados. Isso inclui o sinal "at" (@). Consulte Usuários de VPN para obter mais detalhes.

Este nome de usuário é inválido (o caractere "-" é inválido):

[ VPN Users ]
user-2 Config="test" SharedKey="cisco"

P. Quantos usuários internos podem ser definidos no VPN 5000 Concentrator?

A. É sempre recomendável usar a autenticação RADIUS ou SDI (Secure ID, ID seguro) para implementações grandes. O número de usuários internos está sujeito ao tamanho da sua configuração. O tamanho máximo da configuração é 65.500 bytes. Para ver isso, revise a última linha da saída do comando show configuration. Por exemplo:

Configuration size is 6732 out of 65500 bytes.

P. Quantos túneis podem ser configurados nos VPN 5001, VPN 5002 e nos VPN 5008 Concentrators?

A. O VPN 5001 Concentrator pode suportar até 1.500 túneis, o VPN 5002 Concentrator pode suportar até 10.000 túneis e o VPN 5008 Concentrator pode suportar até 40.000 túneis por placa de linha.

P. O que os comandos modinfo e dmesg exibem?

A. O comando modinfo exibe o que e quantos módulos estão carregados. O comando dmesg exibe mensagens de syslog de inicialização.

P. Como posso remover completamente o cliente Linux®?

A. Na instalação, esses arquivos são criados ou colocados no sistema:

• /etc/vpn_config—Recomenda-se que você mantenha esta, pois é a configuração do VPN 5000 Client.

• /etc/rc.d/init.d/vpn—Este é o script de inicialização que carrega o módulo de kernel "vpnmod".

• /etc/rc.d/rc3.d/s85.vpn — Este é um link para /etc/rc.d/init.d/vpn.

• /etc/rc.d/rc5.d/s85.vpn — Este é um link para /etc/rc.d/init.d/vpn.

• /usr/local/bin/open_tunnel — abre a conexão do túnel.

• /usr/local/bin/close_tunnel — fecha o túnel.

• /usr/local/bin/vpn_control — Esta é uma ferramenta de solução de problemas usada para ativar os sinalizadores de depuração. É usado principalmente no desenvolvimento.

• /lib/modules/<kernelversion>/COMPvpn/vpnmod — Este é o módulo kernel. Execute o comando uname -r para determinar a <kernelversion>.

Se você excluir esses arquivos e reinicializar, desinstale efetivamente o cliente. Como alternativa, você pode executar /usr/local/bin/close_tunnel e /etc/rc.d/init.d/vpnstop e, em seguida, excluir os arquivos acima.

O arquivo /etc/vpn_config é a configuração do cliente. Contém informações sobre o servidor, o nome de usuário e a senha. Se você planeja reinstalar o VPN Client, é recomendável manter uma cópia desse arquivo.

P. O software VPN 5000 Client pode existir na mesma caixa com o Nortel® Extranet Access Client ou qualquer outro cliente? Isso é suportado?

A. O Cisco VPN Client versão 4.0 e posterior pode coexistir. Consulte a seção Coexistência com Fornecedores de VPN de Terceiros das Release Notes para VPN Client, Release 4.0.

P. Existe uma versão DES disponível do Macintosh OS X?

A. Não, mas há uma versão 3DES disponível.

P. Quais são as indicações de que o VPN 5002 Concentrator funciona em operação?

A. Se o LED Over Temp em um ESP (Extended Services Processor, processador de serviços estendidos) no VPN 5002 Concentrator estiver aceso ou se houver outros problemas de temperatura na unidade, pode ser que o filtro de ar integrado esteja obstruído com sujeira e impedindo o fluxo de ar. Para substituir o filtro de ar, consulte Substituindo o filtro de ar para obter instruções adicionais.

P. As sessões H.323 podem ser suportadas usando o VPN 5001 Concentrator e o software VPN 5000 Client versão 5.1.7?

A. Não, eles não podem ser suportados porque o endereço IP está incorporado na parte de dados do pacote. O VPN 5000 Client não pode acessar ou modificar esse endereço.

P. Em uma situação de LAN para LAN com um VPN 5000 Concentrator para um roteador Cisco IOS®, percebo que após uma hora o rechaveamento não é sincronizado entre eles. Como posso corrigir este problema?

A. Esse problema geralmente é resolvido definindo "keymanage=trust" na configuração do VPN 5000 Concentrator. No entanto, ele não funciona quando o dispositivo IOS Cisco tem um endereço IP dinâmico.

P. O que o "<local7.warn>macvpn fTCP ERR: Mensagem de erro Next_proto desconhecida, 69 de 172.21.139.5" significa?

A. A mensagem TCP (fTCP) falsa aparece quando o VPN Concentrator recebe um pacote com a porta 80 e, após remover os cabeçalhos, não encontrou um pacote ESP. O VPN Concentrator usa apenas pacotes IPSec (ESP) e qualquer outra coisa é liberada. Quando o worm Code Red foi liberado na Internet, esse aviso preencheu o buffer de syslog em muitas máquinas de clientes. Essa mensagem de erro pode indicar que sua máquina está infectada e está tentando acessar o VPN 5000 Concentrator, através da porta fTCP.

Informações Relacionadas

• Anúncio do fim do ciclo de comercialização dos concentradores Cisco VPN 5000 Series
• Página de suporte de Cisco VPN 5000 Series Concentrators
• Página de suporte do Cisco VPN 5000 Client
• Página de suporte do IPSec (protocolo de segurança IP)
• Suporte Técnico - Cisco Systems