Cisco VPN 5000 コンセントレータおよびクライアントFAQ
内容
概要
このドキュメントでは、Cisco VPN 5000 シリーズ コンセントレータおよび Cisco VPN 5000 Client に関する FAQ について説明します。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Q. 「ERROR:InitSTEP returned.Cannot find STEP VxD」エラーが Windows XP 用 VPN 5000 Client で表示される理由と修正方法を教えてください。
A.このエラーは、VPN Clientをバインドできないか、必要なVPNサービスにアクセスできないときにいつでも発生します。Windows XP 用 VPN 5000 Client にはネットワーク ドライバをインストールするためにプログラムを自動的に起動するセットアップ プログラムが含まれています。このプログラムが何らかの理由で失敗した場合は、次の手順を実行して手動でネットワーク ドライバをインストールしてください。
- 「Windows XP 用 VPN Client のインストール」を使用して VPN Client ソフトウェアをインストールします。
- 管理者または管理者権限を持つユーザとしてシステムにログインします。
- [Start] > [Settings] > [Network and Internet Connections] > [Network Connections] の順に選択します。
- 適切な [Local Area Connection] をダブルクリックします。
- [Properties] をクリックします。
- [INSTALL] をクリックします。
- [Service] を選択します。
- [Add] をクリックします。
- [Have Disk] をクリックします。
- netcs.inf、netcs_m.inf、および step.sys ファイルが存在するフォルダのパスを入力します。ほとんどの場合、これは VPN Client インストール ファイルと同じフォルダです。
- [OK] をクリックしドライバをインストールします。
- ドライバがインストールされた後で、[Network and Dial-up Connections] ウィンドウを閉じます。
- コンピュータをリブートします。
Q. VPN 5000コンセントレータは、Macintosh OS 10.3(別名Panther)にあるネイティブVPN Clientをサポートしていますか。
A. VPN 5000コンセントレータは、Macintoshオペレーティングシステム(OS)10.1.5以降ではテストされていません。Pantherリリースではサポートを申請できません。VPN 5000 コンセントレータに関する検討は行われておらず、Cisco VPN Client に関してのみ検討されています。新しい OS のサポートが必要な場合は、Cisco VPN Client に移行することを検討してください。さらに、10.3 での Native VPN Client は IPSec over Layer 2 Tunneling Protocol(L2TP)であり、これは、VPN 5000 コンセントレータでサポートされていません。
Q. Macintosh OS X 10.3でCisco VPN 5000 5.2.2 Clientを実行しようとすると、カーネル拡張エラーが発生します。どうすればよいのですか。
A. Cisco VPN 5000 Client Version 5.2.3 for Macintosh Operating System(OS)Xのリリースノートに記載されているように、Cisco VPN 5000 Clientはバージョン10.1.xまでサポートされています。バージョン10.3ではサポートされていません。ただし、VPN Clientを動作させることは可能です。インストール スクリプトを実行した後で、インストールされたファイルの 2 個のアクセス許可をリセットします。これは、出力例です。
注:この設定はシスコではサポートされていません。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
Q.ダイヤルアップ接続で[Auto-Connect to Default Before Logon]機能を使用すると、ユーザの電話帳オプションがグレー表示されるのはなぜですか。
A.この現象が発生する一般的な理由は、システムにRegistration, Admission, and Status Protocol(RAS)が部分的、不正確、または欠落していることが原因です。VPN Client で再インストールを実行する代わりに、Windows RAS をアンインストールして再インストールしてみてください。
Q.「Error ID = -1」は何を意味するのですか。
A.これはVPN 5000 Clientバージョン10.0がMacintosh OS 10.1にインストールされている場合に発生するMacintoshオペレーティングシステム(OS)エラーメッセージで、まだサポートされていません。このエラーはカーネルの不一致を示しています。Cisco Bug ID CSCdv57716の詳細については、Bug Toolkit(登録ユーザ専用)を参照してください。このエラーの例を次に示します。
Q. Error 0、Error 4、Error 6、Error 7、Error 14は何を意味するのですか。
A.次の表に、その意味を示します。
Error 0:インターネット キー エクスチェンジ(IKE)の [Policy] セクションが VPN 5000 コンセントレータに対して設定されていないか、IKE 設定がその VPN グループ設定に設定されていない場合、このエラーが発生します。
Error 4:VPN 5000 コンセントレータで使用できる VPN リソースがありません。これは、VPN 5000 コンセントレータがこのグループの最大接続数に達したことを意味します。また、設定に「LocalIPNet= 204.144.171.64」などの適切でない構文の LocalIPNet を含まれていることを意味する場合もあります(/26 などのマスクが定義されている必要あり)。
Error 6:VPN 5000 Concentratorがユーザ名「Bob」に設定され、ユーザが「bob」を入力すると(正しいパスワード)、VPN 5000 ConcentratorはVPN Server Error 6を返します。ユーザが「Bob」を入力し、間違したパスワードはコンセントレータはエラー6も返します。VPN 5000コンセントレータがDESコードを実行し、ESP(MD5、3DES)などの3DES変換を使用しようとすると、エラー6がVPN 5000クライアントに返されます。非エクスポート コード(3DES)には、後に「US」が付いており(例:バージョン 5.0US)、3DES 暗号化方式を使用できます。すべての Cisco VPN 5000 コンセントレータには DES コードが付属しています。DES コードだけを使用する場合は、3DES トランスフォームを削除し、別のものを使用します。
Error 7:このエラーは、コード バージョンに対して現在非アクティブな IKE ポリシーが VPN 5000 コンセントレータに設定されていることを意味します。現在、バージョン 5.x コードの場合は、すべての 3DES および G2 ポリシーが非アクティブです。これらを削除し、MD5_DES_G1 か SHA_DES_G1 に IKE ポリシーを設定します。
Error 14:VPN 5000 ConcentratorがRADIUSサーバから正しい情報を受信せず、VPN 5000 ClientがログインできないRADIUSエラーです。
該当製品
Cisco VPN 5000 コンセントレータ シリーズ向け Windows 95-98 VPN Client
Cisco VPN 5000 コンセントレータ シリーズ向け Windows NT 4.0 VPN Client
Cisco VPN 5000 コンセントレータ シリーズ向け Macintosh のオペレーティング システム(OS)VPN Client
Cisco VPN 5000 コンセントレータ シリーズ向け Linux カーネル 2.2.5 VPN Client
Cisco VPN 5000 コンセントレータ シリーズ向け SPARC Solaris VPN Client
Cisco VPN 5001 コンセントレータ
Cisco VPN 5002 コンセントレータ
Cisco VPN 5008 コンセントレータ
該当バージョン
すべての 5.x バージョン
Q. IPSecクライアントに関するLinksys®ルータの問題は何ですか。
A. Linksys®ルータは、ファームウェアバージョン1.34以降でのみIPSec接続をサポートします(1.39が最新バージョン)。 Linksys® ルータで IPSec パススルーを有効にする必要があります。
Q. VPN 5000 Clientのユーザ名を指定するときに使用できる文字は何ですか。
A.ユーザー名とドメインでは大文字と小文字が区別され、1 ~ 60文字の英数字を組み合わせることができます。これにアット マーク(@)が含まれます。 詳細については、「VPN のユーザ」を参照してください。
次のユーザ名は無効です(文字「-」は無効):
[ VPN Users ] user-2 Config="test" SharedKey="cisco"
Q. VPN 5000コンセントレータで定義できる内部ユーザはいくつですか。
A.大規模な実装では、RADIUSまたはセキュアID(SDI)認証を使用することを常に推奨します。内部ユーザの数は、設定のサイズに応じて決まります。最大設定サイズは 65,500 バイトです。これを確認するには、show configuration コマンドの出力で最後の行を確認します。以下に、いくつかの例を示します。
Configuration size is 6732 out of 65500 bytes.
Q. VPN 5001、VPN 5002、およびVPN 5008コンセントレータで設定できるトンネルはいくつですか。
A. VPN 5001コンセントレータは最大1,500のトンネル、VPN 5002コンセントレータは最大10,000のトンネル、VPN 5008コンセントレータはラインカードあたり最大40,000のトンネルをサポートできます。
Q. modinfoコマンドとdmesgコマンドは何を表示していますか。
A. modinfoコマンドは、ロードされているモジュールの種類と数を表示します。dmesg コマンドは、ブートアップ syslog メッセージを表示します。
Q. Linux®クライアントを完全に削除するにはどうすればよいのですか。
A.インストール時に、次のファイルが作成されるか、システムに配置されます。
/etc/vpn_config:これは VPN 5000 Client の設定であるため、このファイルは保持することをお勧めします。
/etc/rc.d/init.d/vpn:これは、「vpnmod」カーネル モジュールをロードするブート時スクリプトです。
/etc/rc.d/rc3.d/s85.vpn:これは /etc/rc.d/init.d/vpn へのリンクです。
/etc/rc.d/rc5.d/s85.vpn:これは /etc/rc.d/init.d/vpn へのリンクです。
/usr/local/bin/open_tunnel:これは、トンネル接続を開きます。
/usr/local/bin/close_tunnel:これは、トンネルを閉じます。
/usr/local/bin/vpn_control:これはデバッグ フラグをオンにするために使用するトラブルシューティング ツールです。これは、通常は、開発で使用します。
/lib/modules/ <kernelversion>/COMPvpn/vpnmod:これはカーネル モジュールです。uname - r コマンドを実行して <kernelversion> を判別します。
これらのファイルを削除してリブートすると、クライアントが事実上アンインストールされます。または、/usr/local/bin/close_tunnel と /etc/rc.d/init.d/vpnstop を実行してから上記のファイルを削除します。
/etc/vpn_config ファイルはクライアント設定です。サーバ、ユーザ名、およびパスワード情報を格納しています。VPN Client を再インストールする予定の場合は、このファイルのコピーを保持することお勧めです。
Q. VPN 5000 Clientソフトウェアは、Nortel® Extranet Access Clientまたはその他のクライアントと同じボックスに存在しますか。これはサポートされますか。
A. Cisco VPN Clientバージョン4.0以降は共存できます。『VPN Client リリース 4.0 のリリース ノート』の「サードパーティ製 VPN のベンダーの共存」を参照してください。
Q. Macintosh OS Xの利用可能なDESバージョンはありますか。
A.いいえが、3DESバージョンが利用可能です。
Q. VPN 5002コンセントレータがホットで動作していることを示しているものは何ですか。
A. VPN 5002コンセントレータのExtended Services Processor(ESP)カードのOver Temp LEDが点灯している場合、またはユニットに他の温度の問題がある場合は、内蔵のエアフィルタに汚れが発生し、空気の流れがれを妨している可能性があります。エアー フィルタを交換するには、詳細な手順を「エアー フィルタの交換」で確認してください。
Q. VPN 5001コンセントレータおよびVPN 5000 Clientソフトウェアバージョン5.1.7を使用して、H.323セッションをサポートできますか。
A.いいえ。パケットのデータ部分にIPアドレスが埋め込まれているため、サポートできません。VPN 5000 Client はこのアドレスにアクセスできず、変更できません。
Q. VPN 5000コンセントレータをCisco IOS®ルータに接続するLAN-to-LANの状況では、1時間後にキー再生成が同期されないことに気付きます。どのようにこの問題を解決できますか。
A.この問題は、通常、VPN 5000コンセントレータ設定で「keymanage=reliable」を設定することで解決します。ただし、Cisco IOS デバイスにダイナミック IP アドレスが設定されている場合は機能しません。
Q. "<local7.warn>macvpn fTCP ERR:Unknown next_proto, 69 from 172.21.139.5」エラー メッセージは何を意味しますか。
A. VPNコンセントレータがポート80のパケットを受信し、ヘッダーを削除した後にESPパケットが見つからなかった場合は、疑似TCP(fTCP)メッセージが表示されます。VPN コンセントレータは、IPSec(ESP)パケットだけを取得し、これ以外はドロップします。Code Red ワームがインターネットにリリースされたとき、この警告が多くのお客様のマシンで syslog バッファを埋め尽くしました。このエラー メッセージは、マシンが感染しており、ポート fTCP によって VPN 5000 コンセントレータにアクセスしようとしていることを示している可能性があります。
フィードバック