VPN客户端FAQ
简介
本文档对有关 Cisco VPN Client 的常见问题提供了解答。
注意:以下是各种VPN客户端的命名约定:
-
Cisco 安全 VPN Client 仅限版本 1.0 到 1.1a
-
Cisco VPN 3000 Client 仅限版本 2.x
-
Cisco VPN Client 仅限 3.x 及更高版本
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
下载 VPN Client 软件
问:在哪里可以下载Cisco VPN客户端软件?
答:您必须登录并拥有有效的服务合同才能访问Cisco VPN客户端软件。Cisco VPN客户端软件可从Cisco下载软件(仅限注册客户)页下载。如果您没有与Cisco.com简档关联的有效服务合同,则无法登录并下载VPN客户端软件。
要获取有效的服务合同,您可以:
如果您有直接采购协议,请与您的 Cisco 客户团队联系。
问:Cisco VPN客户端下载区域似乎为空。为什么?
答:当您到达软件中心的VPN客户端区域(仅注册客户)时,请确保在页面中间为所需操作系统选择下载区域。
问:在安装Cisco VPN客户端期间,如何禁用状态防火墙功能?
A. 对于5.0之前的VPN客户端版本:
要了解“使用MSI安装不带状态防火墙的Windows VPN客户端”和“使用InstallShield安装不带状态防火墙的Windows VPN客户端”这两个主题,请参阅VPN客户端版本4.7发行版本注释的文档更改部分。
对于5.0之后的VPN客户端版本:
从Cisco VPN客户端版本5.0.3.0560开始,添加了MSI安装标志,以避免在防火墙文件中安装GUILD:
msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1
有关此的详细信息,请参阅“在不需要状态防火墙时绕过安装防火墙文件”部分。
问:如何卸载或升级Cisco VPN客户端?
A.有关如何手动卸载(InstallShield),然后升级Cisco VPN客户端版本3.5及更高版本的Windows 2000和Windows XP的信息,请参阅删除安装了MSI安装程序的VPN客户端版本。
用于Windows 2000和Windows XP的Cisco VPN客户端软件可以通过隧道从VPN 3000集中器或其他可提供通知的VPN服务器自动安全地下载更新和新版本。此操作的最低前提条件是远程用户必须在其PC上安装用于Windows 4.6或更高版本的VPN客户端才能使用自动更新功能。
使用此功能(称为autoupdate),用户无需卸载旧版本的软件、重新启动、安装新版本,然后重新启动。相反,管理员在Web服务器上提供更新和配置文件,当远程用户启动VPN客户端时,软件会检测下载可用并自动获取。有关详细信息,请参阅管理自动更新和自动更新工作方式。
有关如何使用ASDM在Cisco ASA系列5500自适应安全设备上配置客户端更新的信息,请参阅使用ASDM配置客户端软件更新。
问:我想为Vista定制VPN客户端。我意识到,对于Vista的新VPN客户端版本,没有oem.mst等文件。如何自定义新的VPN客户端版本(5.x),或在何处找到此文件?
答:MST文件不再随VPN客户端提供,但您可以从“下载软件”(仅限注册客户)页面下载它:
文件名:Readme and MST for installation on the international version of Windows。
操作系统
问:思科是否为Windows Vista提供VPN客户端?
答:新版Cisco VPN Client 5.0.07在x86(32位)和x64上都支持Windows Vista。有关详细信息,请参阅5.0.07.0240发行说明。
注意:仅Windows Vista全新安装支持Cisco VPN客户端,这意味着VPN客户端软件不支持将任何Windows操作系统升级到Windows Vista。您必须新安装Windows Vista,然后安装Vista VPN客户端软件。
注意: 如果没有与您的 Cisco.com 简档关联的有效服务合同,您将无法登录和下载 VPN 客户端软件。有关详细信息,请参阅下载 VPN Client 软件。
提示:Cisco AnyConnect VPN客户端现在可用于Windows操作系统,包括Vista 32和64位。AnyConnect Client 支持 SSL 和 DTLS。现在还不支持 IPSec。此外,AnyConnect 仅可与运行 8.0(2) 版本或更高版本的 Cisco 自适应安全设备一起使用。该客户端也可以在 weblaunch 模式下与运行 12.4(15)T 版本的 IOS 设备一起使用。不支持 VPN 3000。
可以从软件中心(仅限注册用户)获取 Cisco AnyConnect VPN Client 和 ASA 8.0。 有关 AnyConnect Client 的详细信息,请参阅 Cisco AnyConnect VPN Client 发行版本注释。有关 ASA 8.0 的详细信息,请参阅 Cisco ASA 5500 系列自适应安全设备发行版本注释。
注意: 如果没有与 Cisco.com 简档关联的有效服务合同,您将无法登录和下载 AnyConnect VPN Client 或 ASA 软件。 有关详细信息,请参阅下载 VPN Client 软件。
问:如何从Microsoft Windows PC设置PPTP连接?
答:安装取决于您运行的Microsoft Windows版本。有关具体信息,您应联系 Microsoft。以下是一些常见Windows版本的设置说明:
Windows 95
- 安装 Msdun13.exe。
- 选择 Programs > Accessories > Dial Up Networking。
- 创建名为“PPTP”的新连接。
- 选择 VPN Adapter 作为连接设备。
- 输入交换机公共接口的IP地址,然后单击Finish。
- 返回到刚创建的连接,右键单击并选择属性。
- 在“允许的网络协议”下,至少取消选中netbeui。
- 配置 Advanced Options 设置:
- 保留默认设置,允许交换机和客户端自动协商身份验证方法。
- 启用 Require Encrypted Password 以强制执行质询握手身份验证协议 (CHAP) 身份验证。
- 启用 Require Encrypted Password 和 Require Data Encryption 以强制执行 MS-CHAP 身份验证。
Windows 98
- 要安装PPTP功能,请完成以下步骤:
- 选择开始>设置>控制面板>添加新硬件,然后单击下一步。
- 单击从列表中选择,选择网络适配器,然后单击Next。
- 在左面板中选择Microsoft,在右面板中选择Microsoft VPN适配器。
- 要配置PPTP功能,请完成以下步骤:
- 选择 Start > Programs > Accessories > Communications > Dial Up Networking。
- 单击Make new connection(新建连接),然后选择Microsoft VPN Adapter(选择设备)。VPN 服务器 IP 地址 = 3000 隧道端点。
- 要将PC更改为允许密码身份验证协议(PAP),请完成以下步骤:
注意:Windows 98的默认身份验证是使用密码加密(CHAP或MS-CHAP)。
- 选择 Properties > Server types。
- 取消选中 Require encrypted password。可在该区域配置数据加密(Microsoft 点对点加密 [MPPE] 或没有 MPPE)。
Windows 2000
- 选择 Start > Programs > Accessories > Communications > Network and Dialup connections。
- 单击“Make new connection(新建连接)” ,然后单击“Next(下一步)”。
- 选择Connect to a private network the Internet and Dial a connection prior(如果您有LAN,请不要选择此选项),然后单击Next。
- 输入隧道终端的主机名或IP地址(3000)。
- 如果需要更改密码类型,请为连接选择属性>安全>高级。默认值是 MS-CHAP 和 MS-CHAP v2(不是 CHAP 或 PAP)。 可在该区域配置数据加密(MPPE 或没有 MPPE)。
Windows NT
问:哪些操作系统版本支持Cisco VPN客户端?
A.为VPN客户端不断添加对其他操作系统的支持。请参阅VPN客户端5.0.07版本说明中的系统要求,以确定这一点,或参阅支持IPsec/PPTP/L2TP的Cisco硬件和VPN客户端。
注意:
VPN客户端支持Windows XP和Windows Vista的双处理器和双核工作站。
Windows VPN客户端版本4.8.00.440是正式支持Windows 98操作系统的最终版本。
Windows VPN客户端版本4.6.04.0043是正式支持Windows NT操作系统的最终版本。
Cisco VPN客户端版本5.0.07在x86(32位)和x64(64位)版本中都支持Windows Vista和Windows 7。
Cisco VPN客户端仅支持Windows XP 32位,但不支持Windows XP 64位。
注意:所有5.x版本都提供Windows Vista 32位支持。Cisco VPN客户端版本5.0.07增加了64位支持。
问:我是否需要在Windows NT/2000计算机上担任管理员才能加载VPN客户端?
答:是,您必须具有管理员权限才能在Windows NT和Windows 2000上安装VPN客户端,因为这些操作系统需要管理员权限才能绑定到现有网络驱动程序或安装新的网络驱动程序。VPN Client 软件是一种网络软件。必须具备管理员权限才能安装。
问:Cisco VPN客户端能否与安装在同一计算机上的Microsoft Internet Connection Sharing(ICS)配合使用?
答:不,Cisco VPN 3000客户端与同一台计算机上的Microsoft ICS不兼容。必须先卸载 ICS,然后才能安装 VPN Client。有关详细信息,请参阅在 Microsoft Windows XP 上准备安装或升级到 Cisco VPN Client 3.5.x 时禁用 ICS。
虽然不能在同一台 PC 上同时安装 VPN Client 和 ICS,但以下安排却有用。
问:我的VPN客户端似乎只连接到某些地址。我运行的是 Windows XP。我该怎么办?
答:验证Windows XP中的内置防火墙是否已禁用。
问:Cisco VPN客户端是否与Windows XP状态防火墙兼容?
问:在Windows XP和Windows 2000上安装VPN客户端时,多用户界面是否被禁用?
答:安装会禁用欢迎屏幕和快速用户切换。有关详细信息,请查看Bug Toolkit中的Cisco Bug ID CSCdu24073(仅限注册客户)。
问:如何使Linux的VPN客户端在执行后移到后台?如果我发起连接,例如 vpnclient connect foo,可以进入连接,但 shell 返回。
A.登录后,键入:
^Z
bg
问:在Windows XP Home Edition上安装Cisco VPN客户端时,任务栏不可见。如何复原?
答:选择控制面板>网络连接>删除网桥以调整此设置。
问:当我尝试在RedHat 8.0上安装Linux VPN客户端时,我收到一个错误,指出无法加载模块,因为模块是用GCC 2编译的,内核是用GCC 3.2编译的。我应该怎么做?
答:这是因为RedHat的新版本具有GCC编译器(3.2+)的更新版本,导致当前Cisco VPN客户端发生故障。此问题已解决,在 Cisco VPN 3.6.2a 中即可使用新版编译器。查看Bug工具包中的Cisco Bug ID CSCdy49082(仅注册客户),了解更多详细信息或从VPN软件中心(仅注册客户)下载软件。
问:在Windows XP上安装VPN客户端3.1时,软件为什么禁用快速用户交换?
答:当注册表中指定了GINA.dll时,Microsoft会在Windows XP中自动禁用快速用户切换。Cisco VPN Client 会安装 CSgina.dll 以实现“Start Before Login”功能。如果需要快速用户切换,请禁用“Start Before Login”功能。注册用户可以在Bug Toolkit中获取Cisco Bug ID CSCdu24073(仅限注册客户)中的更多信息。
问:IPsec VPN客户端是否支持Windows 7上的登录前启动(SBL)功能?
答:Windows7上的IPsec VPN客户端不支持SBL功能。AnyConnect VPN客户端支持此功能。
错误消息
问:安装Cisco VPN客户端4.x时,我收到以下错误消息:警告201:The necessary VPN sub-system is not available.您无法连接到远程VPN服务器
答:此问题可能是由VPN客户端计算机上安装的防火墙软件包引起的。为了避免产生此错误消息,请确保在安装过程中,您的 PC 上没有安装或运行防火墙或防病毒程序。
问:我已升级到Mac OS X 10.3(称为“Panther”),但现在我的Cisco VPN客户端4.x显示以下错误消息:安全VPN连接由客户端原因本地终止:无法联系安全网关
答:您必须将UseLegacyIKEPort=0添加到/etc/CiscoSystemsVPNClient/Profiles/目录中的配置文件(.pcf文件)中,以便Cisco VPN客户端4.x与Mac OS X 10.3(“Panther”)配合使用。
问:当我尝试卸载VPN客户端时,我收到以下错误消息:错误消息:找不到卸载文件……此错误消息意味着什么?如何成功完成卸载?
A.检查网络控制面板,确保未安装确定性NDIS扩展器(DNE)。同时选择 Microsoft > Current Version > Uninstall,检查卸载文件。删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5}文件,然后重试卸载。
问:我无法在Windows 2000 Professional上安装VPN客户端。我收到以下错误:无法安装安装支持文件。灾难性故障。我该怎么办?
A.删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall键。然后重新启动计算机,并重新安装 VPN Client。
注意:要在路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<key to be determined>下找到Cisco VPN Client软件的正确密钥,请转至HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\,然后单击“VPN Client(VPN客户端)”。在右侧窗口中,查看卸载路径(在“名称”列下)。 对应的 Data 列显示 VPN Client 密钥值。记下此密钥,转到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\,选择确定的密钥并将其删除。
有关详细信息,请参阅Bug Toolkit中的初始化错误故障排除
,并参阅Cisco Bug ID CSCdv15391(仅注册客户)。
问:当我尝试在RedHat 8.0上安装Linux VPN客户端时,我收到错误,指出无法加载模块,因为模块是用GCC 2编译的,内核是用GCC 3.2编译的。我应该怎么做?
答:发生此问题是因为RedHat的新版本具有GCC编译器(3.2+)的较新版本,导致当前Cisco VPN客户端发生故障。此问题已解决,在 Cisco VPN 3.6.2a 中即可使用新版编译器。查看Bug工具包中的Cisco Bug ID CSCdy49082(仅限注册客户),了解更多详细信息,或从VPN软件中心(仅限注册客户)下载软件。
问:当我的Linux客户端3.5尝试建立到PIX或VPN 3000集中器的IPsec连接时,我收到“peer no responding”错误消息。我该怎么办?
答:此问题的症状是Linux客户端似乎尝试连接,但它从未收到网关设备的响应。
Linux 操作系统具备内置防火墙 (ipchains),可阻拦 UDP 端口 500、UDP 端口 1000 和封装安全有效负载 (ESP) 数据包。由于该防火墙在默认情况下是打开的,所以要解决此问题,必须禁用防火墙,或者为入站和出站连接都打开 IPsec 通信端口。
问:当我尝试在Mac OS X 10.3上运行Cisco VPN 5000 5.2.2客户端时,我收到一个内核扩展错误。我该怎么办?
A.如产品版本说明所述,Cisco VPN 5000客户端最高支持10.1.x版,因此在10.3版上不受支持。在运行安装脚本后,当您重置两个已安装文件上的权限时,VPN客户端可以正常工作。示例如下:
注意:思科不支持此配置。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
问:我无法安装新版本的Cisco VPN客户端。安装时,我收到以下错误消息之一:“安装DNE时出错DNEinst执行错误,返回代码–2146500093”或“InstallDNE错误:安装DNE时DNEinst执行错误,返回代码–2147024891。" 当我安装Deterministic Network Enhancer时,会出现此问题。
A.安装来自确定性网络的最新DNE升级
问:当我建立连接时,我会收到Cisco VPN客户端的以下日志:
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015
Value for ini parameter VAEnableAlt is 1.
209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003
Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558)
210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C
The Client was unable to enable the Virtual Adapter because it could not open the device.
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015 Value for ini parameter VAEnableAlt is 1. 209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003 Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558) 210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C The Client was unable to enable the Virtual Adapter because it could not open the device.
答:这是一条相当普遍的错误消息,通常需要手动卸载客户端。请按照链接中的说明进行操作。正在删除安装了MSI安装程序的VPN客户端版本。
完成卸载后,请确保进行重新启动。然后重新安装客户端。确保您在本地计算机上以拥有管理权限的用户身份登录。
问:当我尝试在Mac OS上连接思科VPN客户端时,我收到以下错误消息:错误51 — 无法与VPN子系统通信。如何解决此问题?
答:如果在关闭VPN客户端后重新启动服务,问题可以解决:
停止:
sudo kextunload -b com.cisco.nke.ipsec启动:
sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPN另外,验证在安装了VPN客户端的同一台计算机上运行的以下命令,并禁用相同的命令。
任何虚拟软件(例如,VMWare Fumions、Parallels、交叉软件)。
任何防病毒/防火墙软件。
VPN客户端与64位操作系统的兼容性;请参阅《Cisco VPN客户端版本说明》。
我得到“442原因:failed to enable virtual adapter”错误。如何解决此问题?
A.原因442:failed to enable virtual adapter 错误在 Vista 报告检测到重复的 IP 地址后出现。后续连接失败时出现相同的消息,但 Vista 不会报告检测到重复的 IP 地址。有关如何解决此问题的详细信息,请参阅重复 IP 地址在 Windows Vista 上触发错误 442。
问:当我安装Cisco VPN客户端时,收到Deterministic Network Enhancer Add Plugin Failed错误。如何解决此问题?
A.安装DNE适配器可解决问题。安装时最好使用 Installshield 版本,而不要使用 MSI。
问:我收到以下错误:Reason 442:无法启用虚拟适配器。如何解决此问题?
答:在Windows 7和Windows Vista报告检测到重复的IP地址后,出现此错误。后续连接失败,但操作系统不报告检测到重复的IP地址。有关如何解决此问题的详细信息,请参阅Windows 7和Vista上的重复IP地址触发器错误442。
问:当我尝试为MAC OS 10.6启动VPN客户端4.9时,我收到以下错误:Error 51无法与VPN子系统通信。如何解决此问题?
答:发生此问题是因为MAC OS版本4.9的Cisco VPN客户端不提供64位支持。作为解决方法,您可以在32位内核模式下启动。有关详细信息,请参阅Cisco Bug ID CSCth11092(仅注册客户)和Cisco VPN客户端以获取MAC OSX版本说明。
第三方兼容性
问:Nortel客户端是否与Cisco VPN 3000集中器兼容?
答:否。Nortel客户端无法连接到Cisco VPN 3000集中器。
问:我是否可以将来自其他供应商的VPN客户端(如Nortel Contivity VPN客户端)与Cisco VPN客户端同时安装?
答:不。在同一台PC上安装多个VPN客户端时,存在已知问题。
问:第三方VPN集中器是否支持Cisco VPN客户端?
答:第三方VPN集中器不支持Cisco VPN客户端。
身份验证
问:Cisco VPN客户端版本1.1和3.x如何在内部存储数字证书(X.509v3)?
答:Cisco VPN客户端1.1有自己的证书存储。思科VPN客户端3.x可以使用通用应用编程接口(CAPI)将证书存储在Microsoft存储中,也可以将其存储在思科自己的存储中(RSA数据安全)。
问:我能否在VPN集中器上具有相同的组名和用户名?
答:否,组名和用户名不能相同。这是已知问题,在软件版本2.5.2和3.0中发现,并集成到3.1.2中。有关详细信息,请查看Bug工具包中的Cisco Bug ID CSCdw29034(仅限注册客户)。
问:Cisco VPN客户端到PIX上是否支持全质询卡(如Defender)?
答:不,不支持此类型的卡。
VPN Client 软件版本
问:Cisco VPN客户端版本2.5.2及更低版本中的“设置MTU实用程序”选项发生了什么情况?
答:Cisco VPN客户端现在调整最大传输单位(MTU)大小。Set MTU Utility选项不再是必需的安装步骤。Set MTU选项主要用于排除连接故障。为Windows计算机选择SetMTU选项的路径是“开始”>“程序”>“Cisco Systems VPN Client”>“SetMTU”。有关SetMTU选项和在其他操作系统中设置此选项的详细信息,请参阅通过SetMTU更改MTU大小选项。
问:4.0以后的Cisco VPN客户端GUI版本支持哪些语言?
答:4.0以后的Cisco VPN客户端GUI版本支持的语言有加拿大语、法语和日语。
问:Cisco VPN客户端支持哪些个人防火墙?
答:为提供更高级别的安全性,VPN客户端可以实施受支持防火墙的操作,或接收面向互联网的流量的下推状态防火墙策略。
目前,VPN客户端5.0支持以下个人防火墙:
黑冰防御者
Cisco Security Agent
Sygate个人防火墙
Sygate Personal Firewall Pro
系统安全代理
区域警报
ZoneAlarmPro
从 3.1 版本开始,VPN 3000 集中器上增加了一项新功能,该功能可以检测远程用户安装的个人防火墙软件,并在没有适当软件时阻止用户连接。选择Configuration > User Management > Groups > Client FW,然后单击组的选项卡以配置此功能
有关在Cisco VPN客户端计算机上实施防火墙策略的详细信息,请参阅防火墙配置方案。
问:在AOL 7.0中使用Cisco VPN Client 3.x时,是否存在连接问题?
答:如果不使用分割隧道,Cisco VPN客户端不能与AOL 7.0配合使用。有关详细信息,请查看Bug Toolkit中的Cisco Bug ID CSCdx04842(仅限注册客户)。
VPN Client 软件配置
问:为什么Cisco VPN客户端在30分钟后断开?能否延长这一时间段?
答:如果在30分钟内用户连接上没有通信活动,系统将终止连接。默认空闲超时设置为 30 分钟,允许的最小值为 1 分钟,允许的最大值为 2,147,483,647 分钟(超过 4,000 年)。
选择Configuration > User Management > Groups,然后选择适当的组名称以修改空闲超时设置。选择修改组,单击HW客户端选项卡,然后在用户空闲超时字段中键入所需的值。键入0以禁用超时并允许无限的空闲时间。
问:Cisco VPN客户端是否可以使用预先配置的所有参数进行部署?
答:如果vpnclient.ini文件在首次安装时与VPN客户端软件捆绑,它会在安装期间自动配置VPN客户端。您还可以将配置文件(每个连接条目一个.pcf文件)作为预配置的连接配置文件进行自动配置。要将VPN客户端软件的预配置副本分发给用户进行安装,请完成以下步骤:
将VPN客户端软件文件从分发CD-ROM复制到您为一组用户创建vpnclient.ini(全局)文件和独立连接配置文件的每个目录。
注意:对于Mac OS X平台,在安装VPN客户端之前,预配置文件会放在“配置文件”和“资源”文件夹中。vpnclient.ini文件被放置在安装程序目录中。必须将自定义vpnclient.ini文件放置在VPN客户端安装程序目录中与配置文件和资源文件夹处于同一级别。有关详细信息,请参阅《VPN Client User Guide for Mac OS X》的第2章
准备并分发捆绑软件。CD-ROM或网络分发。确保vpnclient.ini文件和配置文件与所有CD-ROM映像文件位于同一目录中。您可以通过网络连接从此目录安装用户;或者,您可以将所有文件复制到新CD-ROM中进行分发;或者,您可以创建包含此目录中所有文件的自解压ZIP文件,并让用户下载该文件,然后安装软件。
问:Cisco VPN客户端似乎与我的NIC卡有冲突。应该如何排除此故障?
答:确保在网卡上运行最新的驱动程序。我们始终建议如此操作。如果可能,请进行测试,确定此问题是否特定于操作系统、PC 硬件及其他 NIC。
问:如何从拨号网络自动连接Cisco VPN客户端?
答:选择选项>属性>连接,并让Cisco VPN客户端下拉拨号网络电话簿条目,以便完全自动拨入VPN连接。
问:如何配置Cisco VPN 3000集中器以通知远程用户进行VPN客户端更新?
答:您可以在VPN客户端用户远程系统上更新VPN客户端软件时通知其用户。有关分步方法,请参阅通知远程用户客户端更新。请确保按照此过程第 7 步所述以“(Rel)”方式键入版本信息。
问:在Cisco VPN客户端出现之前,特别是在启用“登录前启动”选项时,什么原因会导致延迟?
答:Cisco VPN客户端处于回退模式。这会导致延迟。在回退模式下,当登录前启动时,VPN客户端的执行方式不同。在回退模式下运行时,VPN客户端不检查是否已启动必要的Windows服务。因此,如果启动得太快,VPN连接可能会失败。请卸载Cisco VPN客户端,并删除违规的应用,以允许启动,而不处于“回退”模式。然后重新安装Cisco VPN客户端。有关回退模式的详细信息,请参阅登录前启动。
有关详细信息,请参阅Bug工具包中的Cisco Bug ID CSCdt88922(仅注册客户)和CSCdt55739(仅注册客户)。
问:我需要了解ipsecdialer.exe和vpngui.exe之间的区别。为什么vpngui.exe安装在Windows XP的STARTUP中,但我仍必须手动启动ipsecdialer才能访问我的公司资源?而且(除了规模),这些计划似乎触发了同样的事情:VPN登录到我的公司网络。
答: ipsecdialer.exe是Cisco VPN客户端版本3.x的原始启动机制。4.x 版本中更改了 GUI 之后,创建了一个新的可执行程序,称为 vpngui.exe。ipsecdialer.exe 文件在名义上继续存在,仅仅是为了提供向后兼容性,只用于启动 vpngui.exe。这就是为什么您会看到文件大小上有区别。
因此,当您从4.x版降级到3.x版的Cisco VPN客户端时,需要ipsecdialer.exe文件来启动此程序。
问:我能否安全地删除启动VPN图标?为什么需要启动 VPN 图标?
答:启动文件夹中的Cisco VPN客户端支持“登录前启动”功能。如果不使用这一功能,则无需将其放在启动文件夹中。
问:为什么添加了“user_logon”,而不是在ipsecdialer.exe快捷方式下?“user logon”的用途是什么?
答:“登录前启动”功能需要“user_logon”,但用户正常启动Cisco VPN客户端并不需要这样。
NAT/PAT 问题
问:我遇到的问题是,只有一个VPN客户端(适用于3.3及更低版本)能够通过端口地址转换(PAT)设备进行连接。如何操作才能解决此问题?
答:在多种网络地址转换(NAT)/PAT实施中存在一个错误,导致不能转换小于1024的端口。在Cisco VPN客户端3.1上,即使启用了NAT透明,互联网安全关联和密钥管理协议(ISAKMP)会话也使用UDP 512。第一个VPN客户端通过PAT设备并在外部保留源端口512。当第二个 VPN Client 连接时,端口 512 已在使用中。尝试将失败。
可能的解决方法有三种。
修复 PAT 设备。
将VPN客户端升级到3.4,并使用TCP封装。
安装替换所有 VPN Client 的 VPN 3002。
问:两台笔记本电脑能否从同一位置连接到Cisco VPN客户端?
答:只要两个客户端不在执行PAT的设备(如SOHO路由器/防火墙)后,就可以从同一位置连接到同一头端。许多 PAT 设备可以将一个 VPN 连接映射到位于其后的一个客户端,但无法映射两个。为了允许两个 VPN Client 从 PAT 设备后的相同位置进行连接,请在前端启用某些类型的封装,如 NAT-T、IPSec over UDP 或 IPSec over TCP。通常情况下,如果客户端和前端之间有任何 NAT 设备,就应启用 NAT-T 或其他封装。
其他
问:当我使用笔记本电脑连接到办公室中的网络,然后将笔记本电脑带回家时,在家中连接到VPN 3000集中器时遇到问题。问题出在哪里?
答:笔记本电脑可能会保留来自LAN连接的路由信息。有关如何解决此问题的信息,请参阅带有 Microsoft 路由问题 VPN Client。
问:如何判断VPN客户端是否连接到VPN集中器?
A.检查名为HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished的注册表项。如果隧道处于活动状态,则值为1。如果不存在隧道,则值为0。
问:从VPN集中器后面的PC到VPN客户端的NetMeeting连接有问题,但当从PC运行到VPN集中器后面的VPN客户端时,连接会起作用。如何才能解决此问题?
A.按照此处列出的相应步骤控制连接设置:
在 PC 的主驱动器上,选择 Program Files > Cisco Systems > VPN Client > Profiles。右键单击您使用的配置文件,然后选择Open With以在文本编辑器(如记事本)中打开配置文件。(在您选择要使用的程序时,请确保取消选中 Always use this program to open these files 复选框。) 找到ForcekeepAlives的配置文件参数,将值从0更改为1,然后保存配置文件。
或
对于VPN客户端,选择Options > Properties > General,然后输入“Peer response timeout”的值,如此示例窗口所示。您可以指定 30 秒到 480 秒的超时敏感度。
或
对于 VPN 集中器,请选择 Configuration > User Management > Groups > modify group。在IPsec选项卡上,选择IKE Keepalives选项,如此示例窗口所示。
失效对等体检测 (DPD) 间隔因敏感度设置而异。一旦没有收到响应,它将转到更主动的模式中,每 5 秒发送一次数据包,直到达到对等体响应阈值为止。这时,连接就会中断。您可以禁用 keepalive,但如果连接确实已断开,则需要等候超时。Cisco 建议开始时将敏感度值设置为很低。
问:Cisco VPN客户端是否支持双重身份验证?
答:否。Cisco VPN客户端不支持双重身份验证。
问:如何配置Cisco VPN客户端以主模式而非主动模式连接?
答:您必须使用数字签名(证书)才能允许Cisco VPN客户端在主模式下连接。有2种方法可以实现此目的:
从路由器和所有思科VPN客户端上的第三方证书提供商(例如,Verisign或Entrust)获取CA证书。从同一CA服务器注册身份证书,并使用数字签名作为在Cisco VPN客户端和路由器之间进行身份验证的方法。有关此配置的详细信息,请参阅使用委托证书在Cisco IOS路由器和Cisco VPN客户端之间配置IPSec。
第二个选项是将路由器配置为CA服务器以及远程访问VPN的头端。安装证书(以及所有其他证书)将保持上一链路中所述的状态,但路由器将充当CA服务器。有关详细信息,请参阅在集线器上使用IOS CA的Cisco IOS路由器之间的动态LAN到LAN VPN配置示例。
问:如何使VPN客户端访问文件中的所需参数为只读?
答:在.pcf文件中为每个用户在每个参数的前面添加感叹号(!),以便使该参数为只读。
VPN客户端中的用户无法更改以感叹号(!)开头的参数的值。GUI中这些值的字段将灰显(只读)。
下面是一个示例配置:
原始.pcf文件
[main] Description=connection to TechPubs server Host=10.10.99.30 AuthType=1 GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85 1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= Username=alice已更改.pcf文件
[main] !Description=connection to TechPubs server !Host=10.10.99.30 AuthType=1 !GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C 851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= !Username=alice在本示例中,用户无法更改Description、Host、GroupName和Username值。
问:是否可以根据MAC地址限制/限制VPN客户端的访问?
答:否。无法根据MAC地址限制/限制VPN客户端的访问。
反馈