Ce document répond aux questions fréquemment posées sur le concentrateur Cisco VPN 5000 et le client Cisco VPN 5000.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
A. Cette erreur se produit à chaque fois que le client VPN ne peut pas être lié ou que les services VPN nécessaires ne sont pas accessibles. Le client VPN 5000 pour Windows XP inclut un programme d'installation qui lance automatiquement un programme pour installer le pilote réseau. Si le programme échoue pour une raison quelconque, utilisez cette procédure pour installer manuellement le pilote réseau.
- Installez le logiciel VPN Client à l'aide de la section Installation du client VPN pour Windows XP.
- Connectez-vous au système en tant qu'administrateur ou en tant qu'utilisateur disposant de privilèges d'administrateur.
- Sélectionnez Démarrer > Paramètres > Connexions réseau et Internet > Connexions réseau.
- Double-cliquez sur la connexion au réseau local appropriée.
- Cliquez sur Properties.
- Cliquez sur Install.
- Sélectionnez Service.
- Cliquez sur Add.
- Cliquez sur Disque.
- Entrez le chemin d'accès au dossier dans lequel résident les fichiers netcs.inf, netcs_m.inf et step.sys. Dans la plupart des cas, il s'agit du même dossier que le fichier d'installation du client VPN.
- Cliquez sur OK pour installer le pilote.
- Une fois le pilote installé, fermez la fenêtre Connexions réseau et accès à distance.
- Redémarrez votre ordinateur.
A. Le concentrateur VPN 5000 n'a pas été testé avec autre chose que le système d'exploitation Macintosh 10.1.5. Aucune prise en charge ne peut être demandée pour la version de Panther. Il n'a jamais été examiné dans le contexte du concentrateur VPN 5000, uniquement pour celui du client VPN Cisco. Si une prise en charge ultérieure du système d'exploitation est nécessaire, envisagez de passer au client VPN Cisco. En outre, le client VPN natif de la version 10.3 est IPSec sur le protocole L2TP (Layer 2 Tunneling Protocol), qui n'est pas pris en charge dans le concentrateur VPN 5000.
A. Comme indiqué dans les Notes de version du client Cisco VPN 5000 version 5.2.3 pour Macintosh Operating System (OS) X, le client Cisco VPN 5000 est pris en charge jusqu'à la version 10.1.x. Il n'est pas pris en charge sur la version 10.3. Il est toutefois possible de faire fonctionner le client VPN. Réinitialisez les autorisations sur deux des fichiers installés après avoir exécuté le script d'installation. Ce résultat est un exemple.
Remarque : cette configuration n'est pas prise en charge par Cisco.
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
A. Cela se produit généralement en raison d'une installation partielle, incorrecte ou manquante du protocole RAS (Registration, Admission, and Status Protocol) sur le système. Au lieu d'effectuer une réinstallation sur le client VPN, essayez de désinstaller et de réinstaller Windows RAS.
A. Il s'agit d'un message d'erreur du système d'exploitation Macintosh qui se produit lorsque le client VPN 5000 version 10.0 est installé sur le système d'exploitation Macintosh 10.1, qui n'est pas encore pris en charge. L'erreur indique une incompatibilité de noyau. Reportez-vous à la boîte à outils des bogues (clients enregistrés uniquement) pour obtenir plus d'informations sur l'ID de bogue Cisco CSCdv57716. Voici un exemple de l'erreur :
A. Cette liste explique leur signification :
Erreur 0 - Cette erreur se produit lorsqu'aucune section de stratégie IKE (Internet Key Exchange) n'a été configurée pour le concentrateur VPN 5000 ou si une configuration IKE n'a pas été configurée pour cette configuration de groupe VPN.
Erreur 4 : aucune ressource VPN n'est disponible sur le concentrateur VPN 5000. Cela signifie que le concentrateur VPN 5000 a atteint le maximum de connexions pour ce groupe. Cela peut également signifier que la configuration contient un LocalIPNet avec une syntaxe incorrecte telle que « LocalIPNet=204.144.171.64 » (un /26 ou un autre masque doit être défini).
Erreur 6 - Si le concentrateur VPN 5000 a été configuré pour un nom d'utilisateur « Bob » et que l'utilisateur place « bob » (avec le mot de passe correct), alors le concentrateur VPN 5000 renvoie une erreur de serveur VPN 6. Si l'utilisateur place « Bob » et le mauvais mot de passe, alors le concentrateur VPN 5000 renvoie également une erreur 6. Si le concentrateur VPN 5000 exécute le code DES et tente d'utiliser une transformation 3DES, telle qu'ESP (MD5, 3DES), alors l'erreur 6 est renvoyée au client VPN 5000. Le code de non-exportation (3DES) a un « US » après lui (par exemple, la version 5.0US), et il est capable d'utiliser des méthodes de chiffrement 3DES. Tous les concentrateurs Cisco VPN 5000 sont livrés avec le code DES. Supprimez la transformation 3DES et utilisez-en une autre si vous utilisez uniquement du code DES.
Erreur 7 - Cette erreur signifie que votre concentrateur VPN 5000 est configuré avec une stratégie IKE actuellement inactive pour la version de code. Actuellement, pour le code version 5.x, toutes les stratégies 3DES et G2 sont inactives. Supprimez-les et définissez la stratégie IKE sur MD5_DES_G1 ou SHA_DES_G1.
Erreur 14 : erreur RADIUS dans laquelle le concentrateur VPN 5000 ne reçoit pas les informations correctes du serveur RADIUS pour permettre au client VPN 5000 de se connecter.
Produits affectés :
Client VPN Windows 95-98 pour la gamme de concentrateurs Cisco VPN 5000
Client VPN Windows NT 4.0 pour la gamme de concentrateurs Cisco VPN 5000
Client VPN du système d'exploitation Macintosh (OS) pour la gamme de concentrateurs Cisco VPN 5000
Client VPN Linux Kernel 2.2.5 pour la gamme de concentrateurs Cisco VPN 5000
Client VPN Solaris SPARC pour la gamme de concentrateurs Cisco VPN 5000
Concentrateur Cisco VPN 5001
Concentrateur Cisco VPN 5002
Concentrateur Cisco VPN 5008
Versions affectées :
Toutes les versions 5.x
A. Les routeurs Linksys® ne prennent en charge les connexions IPSec que sur les versions 1.34 ou ultérieures du micrologiciel (1.39 est la dernière version). Le transfert IPSec doit être activé sur le routeur Linksys®.
A. Le nom d'utilisateur et le domaine sont sensibles à la casse et peuvent comporter entre 1 et 60 caractères alphanumériques combinés. Ceci inclut le signe « at » (@). Référez-vous à Utilisateurs VPN pour plus de détails.
Ce nom d'utilisateur est illégal (le caractère "-" n'est pas valide) :
[ VPN Users ] user-2 Config="test" SharedKey="cisco"
A. Il est toujours recommandé d'utiliser l'authentification RADIUS ou Secure ID (SDI) pour les mises en oeuvre de grande envergure. Le nombre d'utilisateurs internes dépend de la taille de votre configuration. La taille de configuration maximale est de 65 500 octets. Afin de voir cela, passez en revue la dernière ligne de la sortie de la commande show configuration. Exemple :
Configuration size is 6732 out of 65500 bytes.
A. Le concentrateur VPN 5001 peut prendre en charge jusqu'à 1 500 tunnels, le concentrateur VPN 5002 peut prendre en charge jusqu'à 10 000 tunnels et le concentrateur VPN 5008 peut prendre en charge jusqu'à 40 000 tunnels par carte de ligne.
A. La commande modinfo affiche le nombre et le nombre de modules chargés. La commande dmesg affiche les messages syslog de démarrage.
A. Lors de l'installation, ces fichiers sont créés ou placés sur votre système :
/etc/vpn_config - Il est recommandé de conserver celui-ci car il s'agit de la configuration du client VPN 5000.
/etc/rc.d/init.d/vpn : il s'agit du script de démarrage qui charge le module du noyau vpnmod.
/etc/rc.d/rc3.d/s85.vpn : lien vers /etc/rc.d/init.d/vpn.
/etc/rc.d/rc5.d/s85.vpn : lien vers /etc/rc.d/init.d/vpn.
/usr/local/bin/open_tunnel : ouvre la connexion du tunnel.
/usr/local/bin/close_tunnel : ferme le tunnel.
/usr/local/bin/vpn_control : outil de dépannage utilisé pour activer les indicateurs de débogage. Il est principalement utilisé dans le développement.
/lib/modules/<kernelversion>/COMPvpn/vpnmod—Il s'agit du module noyau. Exécutez la commande uname -r pour déterminer la <kernelversion>.
Si vous supprimez ces fichiers, puis redémarrez, vous désinstallez efficacement votre client. Vous pouvez également exécuter /usr/local/bin/close_tunnel et /etc/rc.d/init.d/vpnstop, puis supprimer les fichiers ci-dessus.
Le fichier /etc/vpn_config est la configuration du client. Il contient les informations relatives au serveur, au nom d'utilisateur et au mot de passe. Si vous prévoyez de réinstaller le client VPN, il est recommandé de conserver une copie de ce fichier.
A. Cisco VPN Client version 4.0 et ultérieure peut coexister. Reportez-vous à la section Coexistence with Third-Party VPN Vendors des Notes de version pour VPN Client, version 4.0.
A. Non, mais une version 3DES est disponible.
A. Si le voyant Over Temp d'une carte ESP (Extended Services Processor) du concentrateur VPN 5002 est allumé ou s'il y a d'autres problèmes de température avec l'unité, il peut s'agir d'un filtre à air intégré obstrué par la saleté et empêchant le flux d'air. Afin de remplacer le filtre à air, consultez Remplacer le filtre à air pour plus d'instructions.
A. Non, ils ne peuvent pas être pris en charge car l'adresse IP est intégrée dans la partie données du paquet. Le client VPN 5000 ne peut pas accéder à cette adresse ni la modifier.
A. Ce problème est généralement résolu en définissant « keymanage=fiable » sur la configuration du concentrateur VPN 5000. Cependant, cela ne fonctionne pas lorsque le périphérique Cisco IOS a une adresse IP dynamique.
A. Le faux message TCP (fTCP) s'affiche lorsque le concentrateur VPN reçoit un paquet avec le port 80, et après avoir supprimé les en-têtes, n'a pas trouvé de paquet ESP. Le concentrateur VPN prend uniquement des paquets IPSec (ESP) et tout autre élément est abandonné. Lorsque le ver Code Red a été lancé sur Internet, cet avertissement a rempli la mémoire tampon syslog sur de nombreux ordinateurs clients. Ce message d'erreur peut indiquer que votre machine est infectée et tente d'accéder au concentrateur VPN 5000 via le port fTCP.