Dieses Dokument beantwortet häufig gestellte Fragen zum Cisco VPN Client.
Hinweis: Die Namenskonventionen für die verschiedenen VPN-Clients sind wie folgt:
Nur Cisco Secure VPN Client Version 1.0 bis 1.1a
Nur Cisco VPN 3000 Client Version 2.x
Cisco VPN Client 3.x oder höher
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Antwort: Sie müssen sich anmelden und über einen gültigen Servicevertrag verfügen, um auf die Cisco VPN Client-Software zugreifen zu können. Die Cisco VPN Client-Software kann von der Cisco Download Software-Seite heruntergeladen werden (nur registrierte Kunden). Wenn Sie keinen gültigen Servicevertrag mit Ihrem Cisco.com-Profil haben, können Sie sich nicht anmelden und die VPN-Client-Software herunterladen.
Um einen gültigen Servicevertrag zu erhalten, können Sie:
Wenden Sie sich an Ihr Cisco Account Team, wenn Sie einen direkten Kaufvertrag abgeschlossen haben.
Wenden Sie sich an einen Cisco Partner oder Reseller, um einen Servicevertrag zu erwerben.
Verwenden Sie den Profile Manager (nur registrierte Kunden), um Ihr Cisco.com-Profil zu aktualisieren und eine Zuordnung zu einem Servicevertrag anzufordern.
Antwort: Wenn Sie den VPN-Clientbereich des Software Center erreichen (nur registrierte Kunden), sollten Sie in der Mitte der Seite den Download-Bereich für das gewünschte Betriebssystem auswählen.
Antwort: Für VPN-Client-Versionen vor 5.0:
Im Abschnitt Dokumentationsänderungen der Versionshinweise zum VPN-Client Version 4.7 finden Sie Informationen zu den beiden Themen "Verwenden von MSI zum Installieren des Windows-VPN-Clients ohne Stateful Firewall" und "Verwenden von InstallShield zum Installieren des Windows-VPN-Clients ohne Stateful Firewall".
Für VPN-Clientversionen nach 5.0:
Ab Cisco VPN Client Release 5.0.3.0560 wurde ein MSI-Installations-Flag hinzugefügt, um die Installation der Gilde in Firewall-Dateien zu vermeiden:
msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1
Weitere Informationen hierzu finden Sie im Abschnitt "Installation von Firewall-Dateien umgehen, wenn keine Stateful Firewall erforderlich ist".
Antwort: Weitere Informationen zur manuellen Deinstallation (InstallShield) und zum anschließenden Upgrade des Cisco VPN Client Version 3.5 und höher für Windows 2000 und Windows XP finden Sie unter Entfernen einer mit dem MSI Installer installierten VPN Client-Version.
Der Cisco VPN Client für Windows 2000 und die Windows XP-Software können Updates und neue Versionen automatisch über einen Tunnel von einem VPN 3000 Concentrator oder einem anderen VPN-Server herunterladen, der Benachrichtigungen bereitstellen kann. Voraussetzung hierfür ist, dass Remote-Benutzer den VPN-Client für Windows 4.6 oder höher auf ihren PCs installieren müssen, um die automatische Aktualisierungsfunktion verwenden zu können.
Mit dieser Funktion, dem so genannten automatischen Update, müssen Benutzer keine alte Version der Software deinstallieren, einen Neustart durchführen, die neue Version installieren und dann erneut neu starten. Stattdessen stellt ein Administrator Aktualisierungen und Profile auf einem Webserver zur Verfügung. Wenn ein Remote-Benutzer den VPN-Client startet, erkennt die Software, dass ein Download verfügbar ist, und erhält diesen automatisch. Weitere Informationen finden Sie unter Verwalten von AutoUpdates und Funktionsweise von automatischen Aktualisierungen.
Informationen zum Konfigurieren von Client-Updates auf einer Cisco Adaptive Security Appliance der Serie ASA 5500 mit ASDM finden Sie unter Konfigurieren von Client-Software-Updates mithilfe von ASDM.
Antwort: Die MST-Datei wird nicht mehr mit dem VPN-Client bereitgestellt, Sie können sie jedoch von der Download-Software-Seite herunterladen (nur registrierte Kunden):
Dateiname: Readme und MST für die Installation auf der internationalen Windows-Version.
Antwort: Die neue Version Cisco VPN Client 5.0.07 unterstützt Windows Vista auf x86 (32-Bit) und x64. Weitere Informationen finden Sie in den Versionshinweisen 5.0.07.0240.
Hinweis: Cisco VPN Client wird nur bei der Installation von Windows Vista Clean unterstützt. Dies bedeutet, dass ein Upgrade eines Windows-Betriebssystems auf Windows Vista von der VPN-Clientsoftware nicht unterstützt wird. Sie müssen Windows Vista neu installieren und anschließend die Vista VPN Client-Software installieren.
Hinweis: Wenn Sie keinen gültigen Servicevertrag mit Ihrem Cisco.com-Profil haben, können Sie sich nicht anmelden und die VPN Client-Software herunterladen. Weitere Informationen finden Sie unter VPN-Client-Software herunterladen.
Tipp: Der Cisco AnyConnect VPN Client ist jetzt auch für Windows-Betriebssysteme verfügbar, darunter Vista 32 und 64-Bit. Der AnyConnect-Client unterstützt SSL und DTLS. IPsec wird derzeit nicht unterstützt. Darüber hinaus ist AnyConnect nur für die Verwendung mit einer Cisco Adaptive Security Appliance verfügbar, die Version 8.0(2) oder höher ausführt. Der Client kann auch im Weblaunch-Modus verwendet werden, wenn IOS-Appliances die Version 12.4(15)T ausführen. VPN 3000 wird nicht unterstützt.
Der Cisco AnyConnect VPN Client und die ASA 8.0 können über das Software Center bezogen werden (nur registrierte Kunden). Weitere Informationen zum AnyConnect Client finden Sie in den Versionshinweisen zum Cisco AnyConnect VPN Client. Weitere Informationen zur ASA 8.0 finden Sie in den Versionshinweisen zu Adaptive Security Appliances der Serie ASA 5500 von Cisco.
Hinweis: Wenn Sie keinen gültigen Servicevertrag mit Ihrem Cisco.com-Profil haben, können Sie sich nicht anmelden und die AnyConnect VPN Client- oder ASA-Software herunterladen. Weitere Informationen finden Sie unter VPN-Client-Software herunterladen.
Antwort: Das Setup hängt von der Microsoft Windows-Version ab, die Sie ausführen. Wenden Sie sich für spezifische Informationen an Microsoft. Hier finden Sie Setup-Anweisungen für einige der gängigen Windows-Versionen:
Windows 95
- Installieren Sie Msdun13.exe.
- Wählen Sie Programme > Zubehör > DFÜ-Netzwerk aus.
- Erstellen Sie eine neue Verbindung mit dem Namen "PPTP".
- Wählen Sie den VPN-Adapter als Gerät für die Verbindung aus.
- Geben Sie die IP-Adresse der öffentlichen Schnittstelle des Switches ein, und klicken Sie auf Fertig stellen.
- Kehren Sie zur gerade erstellten Verbindung zurück, klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus.
- Deaktivieren Sie unter Zulässige Netzwerkprotokolle mindestens die Option netbeui.
- Konfigurieren Sie die Einstellung Erweiterte Optionen:
- Lassen Sie die Standardeinstellungen unverändert, damit der Switch und der Client die Authentifizierungsmethode automatisch aushandeln können.
- Aktivieren Sie Require Encrypted Password, um die CHAP-Authentifizierung (Challenge Handshake Authentication Protocol) zu erzwingen.
- Aktivieren Sie Erforderliches verschlüsseltes Kennwort und Datenverschlüsselung erforderlich, um die MS-CHAP-Authentifizierung zu erzwingen.
Windows 98
- Gehen Sie wie folgt vor, um die PPTP-Funktion zu installieren:
- Wählen Sie Start > Einstellungen > Systemsteuerung > Neue Hardware hinzufügen aus, und klicken Sie auf Weiter.
- Klicken Sie auf Aus Liste auswählen, wählen Sie Netzwerkadapter aus, und klicken Sie auf Weiter.
- Wählen Sie Microsoft im linken Bereich und Microsoft VPN Adapter im rechten Bereich aus.
- Gehen Sie wie folgt vor, um die PPTP-Funktion zu konfigurieren:
- Wählen Sie Start > Programme > Zubehör > Kommunikation > DFÜ-Netzwerk aus.
- Klicken Sie auf Neue Verbindung herstellen, und wählen Sie Microsoft VPN Adapter für Geräte auswählen aus. Die IP-Adresse des VPN-Servers= 3000 Tunnel-Endpunkt.
- Führen Sie die folgenden Schritte aus, um den PC so zu ändern, dass auch Kennwort Authentication Protocol (PAP) zugelassen wird:
Hinweis: Die Windows 98-Standardauthentifizierung besteht in der Verwendung von Kennwortverschlüsselung (CHAP oder MS-CHAP).
- Wählen Sie Eigenschaften > Servertypen aus.
- Deaktivieren Sie Verschlüsseltes Kennwort erforderlich. In diesem Bereich können Sie die Datenverschlüsselung (Microsoft Point-to-Point Encryption [MPPE] oder kein MPPE) konfigurieren.
Windows 2000
- Wählen Sie Start > Programme > Zubehör > Kommunikation > Netzwerk- und DFÜ-Verbindungen aus.
- Klicken Sie auf Neue Verbindung herstellen und dann auf Weiter.
- Wählen Sie Verbinden mit einem privaten Netzwerk über das Internet, und wählen Sie vorher eine Verbindung (wählen Sie diese nicht aus, wenn Sie ein LAN haben), und klicken Sie auf Weiter.
- Geben Sie den Hostnamen oder die IP-Adresse des Tunnelendpunkts (3000) ein.
- Wenn Sie den Kennworttyp ändern müssen, wählen Sie Eigenschaften > Sicherheit für die Verbindung > Erweitert aus. Der Standardwert ist MS-CHAP und MS-CHAP v2 (nicht CHAP oder PAP). In diesem Bereich können Sie die Datenverschlüsselung (MPPE oder kein MPPE) konfigurieren.
Windows NT
Weitere Informationen finden Sie unter Installieren, Konfigurieren und Verwenden von PPTP mit Microsoft-Clients und -Servern .
Antwort: Für den VPN-Client wird ständig die Unterstützung weiterer Betriebssysteme hinzugefügt. Informationen hierzu finden Sie in den Systemanforderungen in den Versionshinweisen für den VPN-Client 5.0.07 oder unter Cisco Hardware- und VPN-Clients, die IPsec/PPTP/L2TP unterstützen.
Hinweise:
Der VPN-Client unterstützt Dualprozessor- und Dualcore-Workstations für Windows XP und Windows Vista.
Windows VPN Client Release 4.8.00.440 war die endgültige Version, die das Betriebssystem Windows 98 offiziell unterstützte.
Windows VPN Client Release 4.6.04.0043 war die endgültige Version, die das Windows NT-Betriebssystem offiziell unterstützte.
Cisco VPN Client 5.0.07 unterstützt Windows Vista und Windows 7 sowohl in der x86- (32-Bit) als auch in der x64-Version (64-Bit).
Der Cisco VPN Client unterstützt nur Windows XP 32-Bit, Windows XP 64-Bit wird jedoch nicht unterstützt.
Hinweis: Windows Vista 32-Bit-Unterstützung war in allen 5.x-Versionen verfügbar. Die 64-Bit-Unterstützung wurde durch den Cisco VPN Client Version 5.0.07 hinzugefügt.
Antwort: Ja, Sie müssen über Administratorrechte verfügen, um den VPN-Client unter Windows NT und Windows 2000 zu installieren, da diese Betriebssysteme Administratorrechte benötigen, um eine Bindung an die vorhandenen Netzwerktreiber herzustellen oder neue Netzwerktreiber zu installieren. Die VPN-Client-Software ist Netzwerksoftware. Sie müssen über Administratorrechte verfügen, um sie zu installieren.
Antwort: Nein, der Cisco VPN 300 Client ist nicht mit Microsoft ICS auf demselben System kompatibel. Sie müssen ICS deinstallieren, bevor Sie den VPN-Client installieren können. Weitere Informationen finden Sie unter Deaktivieren von ICS bei der Vorbereitung auf die Installation oder das Upgrade auf Cisco VPN Client 3.5.x unter Microsoft Windows XP.
Obwohl der VPN-Client und der ICS auf demselben PC nicht funktionieren, funktioniert diese Anordnung nicht.
Antwort: Überprüfen Sie, ob die integrierte Firewall in Windows XP deaktiviert ist.
Antwort: Dieses Problem wurde behoben. Weitere Informationen finden Sie unter CSCdx15865 (nur registrierte Kunden) im Bug Toolkit.
Antwort: Die Installation deaktiviert den Begrüßungsbildschirm und das schnelle Umschalten der Benutzer. Weitere Informationen finden Sie im Bug Toolkit unter Cisco Bug ID CSCdu24073 (nur registrierte Kunden).
Antwort: Geben Sie nach der Anmeldung Folgendes ein:
^Z
BG
Antwort: Wählen Sie Systemsteuerung > Netzwerkverbindungen > Netzwerkbrücke entfernen, um diese Einstellung anzupassen.
Antwort: Dies liegt daran, dass die neue Version von RedHat eine neuere Version des GCC-Compilers (3.2+) hat, was dazu führt, dass der aktuelle Cisco VPN-Client fehlschlägt. Dieses Problem wurde behoben und ist in Cisco VPN 3.6.2a verfügbar. Weitere Informationen finden Sie unter Cisco Bug ID CSCdy49082 (nur registrierte Kunden) im Bug Toolkit oder laden Sie die Software vom VPN Software Center herunter (nur registrierte Kunden).
Antwort: Microsoft deaktiviert Fast User Switching in Windows XP automatisch, wenn eine GINA.dll in der Registrierung angegeben ist. Der Cisco VPN Client installiert CSgina.dll, um die Funktion "Start Before Login" (Vor Anmeldung starten) zu implementieren. Wenn Sie Fast User Switching benötigen, deaktivieren Sie die Funktion "Start Before Login" (Vor Anmeldung starten). Registrierte Benutzer erhalten weitere Informationen in der Cisco Bug ID CSCdu24073 (nur registrierte Kunden) im Bug Toolkit.
Antwort: Die SBL-Funktion wird von IPsec-VPN-Clients unter Windows7 nicht unterstützt. Diese wird vom AnyConnect VPN-Client unterstützt.
Antwort: Dieses Problem kann durch auf Ihrem VPN-Client-Computer installierte Firewall-Pakete verursacht werden. Um diese Fehlermeldung zu vermeiden, stellen Sie sicher, dass zum Zeitpunkt der Installation keine Firewall oder Virenschutzprogramme auf Ihrem Computer installiert oder ausgeführt werden.
Antwort: Sie müssen UseLegacyIKEPort=0 dem Profil (.pcf-Datei) hinzufügen, das im Verzeichnis /etc/CiscoSystemsVPNClient/Profiles/Profile für den Cisco VPN Client 4.x gefunden wurde, um mit Mac OS X 10.3 ("Panther") arbeiten zu können.
Antwort: Überprüfen Sie die Systemsteuerung des Netzwerks, um sicherzustellen, dass der deterministische NDIS Extender (DNE) nicht installiert wurde. Wählen Sie außerdem Microsoft > Current Version > Uninstall, um die Deinstallationsdatei zu suchen. Entfernen Sie die HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5}-Datei, und versuchen Sie die Deinstallation erneut.
Antwort: Entfernen Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall-Schlüssel. Starten Sie anschließend den Computer neu, und installieren Sie den VPN-Client neu.
Hinweis: Um den richtigen Schlüssel für die Cisco VPN Client-Software unter dem Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<Schlüssel zu bestimmen> zu finden, gehen Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\, und klicken Sie auf VPN Client. Zeigen Sie im rechten Fenster den Deinstallationspfad (unter der Spalte Name) an. Die entsprechende Spalte Daten zeigt den Wert des VPN-Client-Schlüssels an. Notieren Sie sich diesen Schlüssel, gehen Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\, wählen Sie den bestimmten Schlüssel aus, und löschen Sie ihn.
Weitere Informationen finden Sie unter Initialisierungsfehler-Fehlerbehebung und unter Cisco Bug ID CSCdv15391 (nur registrierte Kunden) im Bug Toolkit.
Antwort: Dieses Problem tritt auf, weil die neue Version von RedHat eine neuere Version des GCC-Compilers (3.2+) hat, wodurch der aktuelle Cisco VPN-Client fehlschlägt. Dieses Problem wurde behoben und ist in Cisco VPN 3.6.2a verfügbar. Weitere Informationen finden Sie unter Cisco Bug ID CSCdy49082 (nur registrierte Kunden) im Bug Toolkit oder zum Download der Software aus dem VPN Software Center (nur registrierte Kunden) .
Antwort: Das Symptom dieses Problems ist, dass der Linux-Client scheinbar versucht, eine Verbindung herzustellen, aber er erhält nie eine Antwort vom Gateway-Gerät.
Das Linux-Betriebssystem verfügt über eine integrierte Firewall (ipketten), die UDP-Port 500, UDP-Port 1000 und ESP-Pakete (Encapsulating Security Payload) blockiert. Da die Firewall standardmäßig aktiviert ist, müssen Sie entweder die Firewall deaktivieren oder die Ports für die IPsec-Kommunikation für eingehende und ausgehende Verbindungen öffnen, um das Problem zu beheben.
Antwort: Wie in den Versionshinweisen zum Produkt angegeben, wird der Cisco VPN 5000 Client bis Version 10.1.x unterstützt und wird daher von Version 10.3 nicht unterstützt. Es ist möglich, den VPN-Client so zu konfigurieren, dass er funktioniert, wenn Sie die Berechtigungen für zwei der installierten Dateien zurücksetzen, nachdem Sie das Installationsskript ausgeführt haben. Hier ein Beispiel:
Hinweis: Diese Konfiguration wird nicht von Cisco unterstützt.
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
Antwort: Installieren Sie das neueste DNE-Upgrade von Deterministic Networks .
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015 Value for ini parameter VAEnableAlt is 1. 209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003 Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558) 210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C The Client was unable to enable the Virtual Adapter because it could not open the device.
Antwort: Es handelt sich um eine recht allgemeine Fehlermeldung, die normalerweise eine manuelle Deinstallation des Clients erfordert. Folgen Sie den Anweisungen in diesem Link. Entfernen einer mit dem MSI Installer installierten VPN Client-Version.
Wenn Sie die Deinstallation abgeschlossen haben, stellen Sie sicher, dass Sie neu starten. Installieren Sie dann den Client neu. Stellen Sie sicher, dass Sie als Benutzer angemeldet sind, der Administratorrechte auf dem lokalen Computer hat.
Antwort: Das Problem kann behoben werden, wenn Sie den Dienst neu starten, nachdem Sie den VPN-Client auf diese Weise geschlossen haben:
So stoppen Sie:
sudo kextunload -b com.cisco.nke.ipsecSo starten Sie:
sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPNÜberprüfen Sie außerdem die folgenden Vorgänge auf demselben Computer, auf dem der VPN-Client installiert ist, und deaktivieren Sie sie.
Alle virtuellen Software (z. B. VMWare Fusions, Parallels, Crossover).
Alle Antivirus-/Firewall-Software.
Kompatibilität des VPN-Clients mit dem 64-Bit-Betriebssystem; Weitere Informationen finden Sie in den Versionshinweisen zum Cisco VPN-Client.
Antwort: Der Grund 442: Der Fehler für die Aktivierung des virtuellen Adapters wird angezeigt, nachdem Vista meldet, dass eine doppelte IP-Adresse erkannt wurde. Die nachfolgenden Verbindungen schlagen mit derselben Meldung fehl, Vista meldet jedoch nicht, dass eine doppelte IP-Adresse erkannt wurde. Weitere Informationen zur Behebung dieses Problems finden Sie unter Fehler 442 für doppelte IP-Adressenauslöser unter Windows Vista.
Antwort: Durch die Installation des DNE-Adapters kann das Problem behoben werden. Es ist besser, die Installshield-Version anstelle von MSI für die Installation zu verwenden.
Antwort: Dieser Fehler wird angezeigt, nachdem Windows 7 und Windows Vista eine doppelte IP-Adresse erkannt haben. Die nachfolgenden Verbindungen schlagen mit derselben Meldung fehl, aber das Betriebssystem meldet nicht, dass die doppelte IP-Adresse erkannt wurde. Weitere Informationen zur Behebung dieses Problems finden Sie unter Fehler 442 für doppelte IP-Adressenauslöser unter Windows 7 und Vista.
Antwort: Dieses Problem tritt auf, weil 64-Bit-Unterstützung bei Cisco VPN Client für MAC OS Version 4.9 nicht verfügbar ist. Als Problemumgehung können Sie im 32-Bit-Kernelmodus booten. Weitere Informationen finden Sie in den Versionshinweisen für MAC OSX unter Cisco Bug ID CSCth11092 (nur registrierte Kunden) und Cisco VPN Client.
Antwort: Nein. Der Nortel Client kann keine Verbindung zum Cisco VPN 3000 Concentrator herstellen.
Antwort: Nein. Es sind Probleme bekannt, wenn mehrere VPN-Clients auf demselben PC installiert sind.
Antwort: Cisco VPN-Clients werden nicht von VPN-Konzentratoren von Drittanbietern unterstützt.
Antwort: Der Cisco VPN Client 1.1 verfügt über einen eigenen Zertifikatsspeicher. Der Cisco VPN Client 3.x kann Zertifikate entweder über die Common Application Programming Interface (CAPI) im Microsoft-Store speichern oder sie im eigenen Speicher (RSA Data Security) von Cisco speichern.
Antwort: Nein, Gruppenname und Benutzername dürfen nicht identisch sein. Dies ist ein bekanntes Problem, das in den Softwareversionen 2.5.2 und 3.0 vorkommt und in 3.1.2 integriert ist. Weitere Informationen finden Sie im Bug Toolkit unter Cisco Bug ID CSCdw29034 (nur registrierte Kunden).
Antwort: Nein, Karten dieses Typs werden nicht unterstützt.
Antwort: Der Cisco VPN Client passt jetzt die MTU-Größe (Maximum Transmission Unit) an. Die Option MTU Utility festlegen ist nicht mehr ein erforderlicher Installationsschritt. Die Option Set MTU (MTU festlegen) wird hauptsächlich zur Behebung von Verbindungsproblemen verwendet. Die Option SetMTU für einen Windows-Computer kann über Start > Programme > Cisco Systems VPN Client > SetMTU ausgewählt werden. Weitere Informationen zur SetMTU-Option und zum Festlegen dieser Option in anderen Betriebssystemen finden Sie unter Ändern der MTU-Größe durch die SetMTU-Option.
Antwort: Die in der Benutzeroberfläche von Cisco VPN Client ab Version 4.0 unterstützten Sprachen sind Kanada, Französisch und Japanisch.
Antwort: Um ein höheres Maß an Sicherheit zu gewährleisten, kann der VPN Client entweder den Betrieb einer unterstützten Firewall durchsetzen oder eine ausgedrückte Stateful Firewall-Richtlinie für Internetdatenverkehr erhalten.
Derzeit unterstützt der VPN Client 5.0 die folgenden persönlichen Firewalls:
BlackIce Defender
Cisco Security Agent
Sygate Personal Firewall
Sygate Personal Firewall Pro
Sygate Security Agent
ZoneAlarm
ZoneAlarmPro
Ab Version 3.1 wird dem VPN 300 Concentrator eine neue Funktion hinzugefügt, die erkennt, welche persönliche Firewall-Software von Remote-Benutzern installiert wurde, und die Benutzer daran hindert, sich ohne die entsprechende Software anzuschließen. Wählen Sie Konfiguration > Benutzerverwaltung > Gruppen > Client FW, und klicken Sie auf die Registerkarte für die Gruppe, um diese Funktion zu konfigurieren.
Weitere Informationen zur Durchsetzung von Firewall-Richtlinien auf einem Cisco VPN Client-Computer finden Sie unter Firewall-Konfigurationsszenarien.
Antwort: Der Cisco VPN Client kann ohne Split-Tunneling nicht mit AOL 7.0 verwendet werden. Weitere Informationen finden Sie unter CSCdx04842 (nur registrierte Kunden) im Bug Toolkit.
Antwort: Wenn während dieses Zeitraums von 30 Minuten keine Kommunikationsaktivität auf einer Benutzerverbindung besteht, beendet das System die Verbindung. Die Standardeinstellung für die Leerlaufzeitüberschreitung beträgt 30 Minuten mit einem zulässigen Mindestwert von 1 Minute und einem zulässigen Maximalwert von 2.147.483.647 Minuten (mehr als 4.000 Jahre).
Wählen Sie Konfiguration > Benutzerverwaltung > Gruppen, und wählen Sie den entsprechenden Gruppennamen aus, um die Einstellung für Leerlaufzeitüberschreitung zu ändern. Wählen Sie Gruppe ändern, klicken Sie auf die Registerkarte HW Client, und geben Sie den gewünschten Wert in das Feld User Idle Timeout (Benutzer-Leerlaufzeit-Timeout) ein. Geben Sie 0 ein, um die Zeitüberschreitung zu deaktivieren und eine unbegrenzte Leerlaufzeit zuzulassen.
Antwort: Wenn die Datei vpnclient.ini bei der ersten Installation mit der VPN Client-Software gebündelt wird, wird der VPN Client während der Installation automatisch konfiguriert. Sie können auch die Profildateien (eine .pcf-Datei für jeden Verbindungseintrag) als vorkonfigurierte Verbindungsprofile für die automatische Konfiguration verteilen. Gehen Sie wie folgt vor, um vorkonfigurierte Kopien der VPN Client-Software zur Installation an Benutzer zu verteilen:
Kopieren Sie die VPN Client-Softwaredateien von der Distributions-CD-ROM in jedes Verzeichnis, in dem Sie eine vpnclient.ini (globale) Datei und separate Verbindungsprofile für eine Reihe von Benutzern erstellt haben.
Hinweis: Für die Mac OS X-Plattform werden vorkonfigurierte Dateien in den Ordner Profile und Ressourcen abgelegt, bevor der VPN Client installiert wird. Die Datei vpnclient.ini wird im Installationsverzeichnis abgelegt. Sie müssen benutzerdefinierte vpnclient.ini-Dateien im Verzeichnis des VPN-Client-Installers auf derselben Ebene wie die Ordner Profile und Ressourcen ablegen. Weitere Informationen finden Sie in Kapitel 2 des VPN-Client-Benutzerhandbuchs für Mac OS X.
Vorbereiten und Verteilen der Software. CD-ROM oder Netzwerkverteilung. Stellen Sie sicher, dass sich die Datei "vpnclient.ini" und die Profildateien im gleichen Verzeichnis befinden, in dem sich alle CD-ROM-Bilddateien befinden. Sie können Benutzer über eine Netzwerkverbindung von diesem Verzeichnis installieren lassen. oder Sie können alle Dateien auf eine neue CD-ROM zur Verteilung kopieren. Sie können auch eine selbstextrahierende ZIP-Datei erstellen, die alle Dateien aus diesem Verzeichnis enthält, und die Benutzer dazu veranlassen, diese herunterzuladen und dann die Software zu installieren.
Geben Sie den Benutzern alle weiteren erforderlichen Konfigurationsinformationen und -anweisungen. Siehe Kapitel 2 des VPN-Client-Benutzerhandbuchs für Ihre Plattform.
Antwort: Stellen Sie sicher, dass Sie die neuesten Treiber auf der Netzwerkkarte ausführen. Dies wird immer empfohlen. Wenn möglich sollten Sie testen, ob das Problem speziell auf das Betriebssystem, die PC-Hardware und andere NIC-Karten zurückzuführen ist.
Antwort: Wählen Sie Optionen > Eigenschaften > Verbindungen, und lassen Sie den Cisco VPN-Client einen Eintrag für ein DFÜ-Netzwerk abziehen, um die Einwahl in die VPN-Verbindung vollständig zu automatisieren.
Antwort: Sie können VPN-Client-Benutzer benachrichtigen, wenn es an der Zeit ist, die VPN-Client-Software auf ihren Remote-Systemen zu aktualisieren. Eine schrittweise Anleitung finden Sie unter Benachrichtigen von Remote-Benutzern über ein Client-Update. Stellen Sie sicher, dass Sie die Versionsinformationen wie in Schritt 7 des Prozesses beschrieben als "(Rel)" eingeben.
Antwort: Der Cisco VPN Client befindet sich im Ausfallmodus. Dies trägt zur Verzögerung bei. Im Fallback-Modus führt der VPN-Client beim Start vor der Verwendung der Anmeldung eine andere Funktion aus. Beim Betrieb im Fallback-Modus überprüft der VPN-Client nicht, ob die erforderlichen Windows-Dienste gestartet wurden. Daher kann die VPN-Verbindung fehlschlagen, wenn sie zu schnell initiiert wird.Deinstallieren Sie den Cisco VPN Client, und entfernen Sie die fehlerhaften Anwendungen, um das Hochfahren zu ermöglichen, ohne sich im Ausfallmodus zu befinden. Installieren Sie anschließend den Cisco VPN Client neu. Weitere Informationen zum Fallback-Modus finden Sie unter Start before Logon (Vor Anmeldung starten).
Weitere Informationen finden Sie in den Cisco Bug IDs CSCdt88922 (nur registrierte Kunden) und CSCdt55739 (nur registrierte Kunden) im Bug Toolkit.
Antwort: ipsecdialer.exe war der ursprüngliche Startmechanismus für den Cisco VPN Client Version 3.x. Wenn die GUI in den Versionen 4.x geändert wurde, wurde eine neue ausführbare Datei mit dem Namen vpngui.exe erstellt. Die Datei ipsecdialer.exe wurde nur aus Gründen der Abwärtskompatibilität mit dem Namen fortgeführt und startet lediglich die Datei vpngui.exe. Dies ist der Grund, warum Sie den Unterschied in der Dateigröße sehen können.
Wenn Sie also ein Downgrade von Version 4.x auf Version 3.x des Cisco VPN Client durchführen, müssen Sie die Datei ipsecdialer.exe ausführen.
Antwort: Der Cisco VPN Client im Startordner unterstützt die Funktion "Start Before Logon" (Vor Anmeldung starten). Wenn Sie die Funktion nicht verwenden, benötigen Sie sie nicht im Startordner.
Antwort: Für die Funktion "Start Before Logon" (Vor Anmeldung starten) ist "user_logon" erforderlich. Bei einem normalen Start des Cisco VPN Clients durch den Benutzer ist dies jedoch nicht erforderlich.
Antwort: Bei mehreren Network Address Translation (NAT)/PAT-Implementierungen ist ein Fehler aufgetreten, der dazu führt, dass Ports mit weniger als 1024 nicht übersetzt werden. Auf dem Cisco VPN Client 3.1 verwendet die ISAKMP-Sitzung (Internet Security Association and Key Management Protocol) UDP 512, selbst wenn die NAT-Transparenz aktiviert ist. Der erste VPN-Client durchläuft das PAT-Gerät und behält den Quellport 512 außen bei. Wenn der zweite VPN-Client eine Verbindung herstellt, wird Port 512 bereits verwendet. Der Versuch schlägt fehl.
Es gibt drei mögliche Problemumgehungen.
PAT-Gerät reparieren.
Aktualisieren Sie die VPN-Clients auf 3.4, und verwenden Sie TCP-Kapselung.
Installieren Sie ein VPN 3002, das alle VPN-Clients ersetzt.
Antwort: Zwei Clients können vom gleichen Standort aus eine Verbindung mit demselben Headend herstellen, sofern sich die Clients nicht beide hinter einem Gerät befinden, das eine PAT ausführt, z. B. ein SOHO-Router oder eine SOHO-Firewall. Viele PAT-Geräte können einer VPN-Verbindung einen Client dahinter zuweisen, nicht jedoch zwei. Damit zwei VPN-Clients von demselben Standort hinter einem PAT-Gerät eine Verbindung herstellen können, aktivieren Sie eine Kapselung wie NAT-T, IPSec über UDP oder IPsec über TCP am Headend. Im Allgemeinen sollte NAT-T oder eine andere Kapselung aktiviert werden, wenn sich EIN NAT-Gerät zwischen dem Client und dem Headend befindet.
Antwort: Der Laptop behält möglicherweise die Routing-Informationen aus der LAN-Verbindung bei. Informationen zur Behebung dieses Problems finden Sie unter VPN-Clients mit Microsoft Routing-Problemen.
Antwort: Überprüfen Sie den Registrierungsschlüssel HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished. Wenn ein Tunnel aktiv ist, ist der Wert 1. Wenn kein Tunnel vorhanden ist, ist der Wert 0.
Antwort: Befolgen Sie die hier aufgeführten Schritte, um die Verbindungseinstellungen zu steuern:
Wählen Sie auf dem Hauptlaufwerk des PCs Programme > Cisco Systems > VPN Client > Profile aus. Klicken Sie mit der rechten Maustaste auf das Profil, das Sie verwenden, und wählen Sie Öffnen mit aus, um das Profil in einem Texteditor (z. B. Notepad) zu öffnen. (Wenn Sie das zu verwendende Programm auswählen, deaktivieren Sie das Kontrollkästchen Verwenden Sie dieses Programm immer, um diese Dateien zu öffnen.) Suchen Sie den Profilparameter für ForcekeepAlives, ändern Sie den Wert von 0 auf 1, und speichern Sie dann das Profil.
oder
Wählen Sie für den VPN-Client Optionen > Eigenschaften > Allgemein, und geben Sie einen Wert für das Peer-Response-Timeout ein, wie in diesem Beispielfenster gezeigt. Sie können eine Timeout-Empfindlichkeit von 30 bis 480 Sekunden angeben.
oder
Wählen Sie für den VPN-Konzentrator Konfiguration > Benutzerverwaltung > Gruppen > Gruppe ändern aus. Wählen Sie auf der Registerkarte IPsec die Option für IKE-Keepalives aus, wie in diesem Beispielfenster gezeigt.
Das DPD-Intervall (Dead Peer Detection) hängt von der Empfindlichkeitseinstellung ab. Wenn eine Antwort nicht empfangen wird, wechselt sie in einen aggressiveren Modus und sendet alle fünf Sekunden Pakete, bis der Peer-Response-Schwellenwert erreicht ist. Zu diesem Zeitpunkt wird die Verbindung abgebrochen. Sie können die Keepalives deaktivieren, aber wenn die Verbindung tatsächlich getrennt wird, müssen Sie auf die Zeitüberschreitung warten. Cisco empfiehlt, den Empfindlichkeitswert zunächst sehr niedrig einzustellen.
Antwort: Nein. Doppelte Authentifizierung wird vom Cisco VPN-Client nicht unterstützt.
Antwort: Sie müssen digitale Signaturen (Zertifikate) verwenden, damit der Cisco VPN Client im Hauptmodus eine Verbindung herstellen kann. Dafür gibt es zwei Methoden:
Sie erhalten Zertifizierungsstellenzertifikate des Drittanbieters (z. B. Verisign oder Entrust) auf dem Router und allen Cisco VPN-Clients. Registrieren Sie die Identitätszertifikate desselben CA-Servers, und verwenden Sie digitale Signaturen, um sich zwischen dem Cisco VPN-Client und dem Router zu authentifizieren. Weitere Informationen zu dieser Konfiguration finden Sie unter Konfigurieren von IPSec zwischen Cisco IOS-Routern und Cisco VPN-Client mithilfe von Vertrauenzertifikaten.
Die zweite Option besteht in der Konfiguration des Routers als CA-Server zusammen mit dem Headend für das Remote-Access-VPN. Die Installation der Zertifikate (und alles andere) bleibt wie in der vorherigen Verbindung beschrieben, mit der Ausnahme, dass sich der Router als CA-Server verhält. Weitere Informationen finden Sie unter Dynamic LAN-to-LAN VPN zwischen Cisco IOS-Routern mit IOS-CA im Konfigurationsbeispiel für den Hub.
Antwort: Fügen Sie an der Vorderseite jedes Parameters in der .pcf-Datei für jeden Benutzer ein Ausrufezeichen (!) hinzu, damit der Parameter schreibgeschützt ist.
Die Werte für Parameter, die mit einem Ausrufezeichen (!) beginnen, können vom Benutzer im VPN-Client nicht geändert werden. Die Felder für diese Werte in der GUI werden grau ausgegraut (schreibgeschützt).
Nachfolgend finden Sie eine Beispielkonfiguration:
Originaldatei .pcf
[main] Description=connection to TechPubs server Host=10.10.99.30 AuthType=1 GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85 1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= Username=alicePDF-Datei geändert
[main] !Description=connection to TechPubs server !Host=10.10.99.30 AuthType=1 !GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C 851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= !Username=aliceIn diesem Beispiel kann der Benutzer die Werte Description, Host, GroupName und Username nicht ändern.
Antwort: Nein. Es ist nicht möglich, den Zugriff für VPN-Clients basierend auf MAC-Adressen zu beschränken bzw. einzuschränken.