このドキュメントでは Cisco VPN Client に関する FAQ について説明します。
注:さまざまなVPNクライアントの命名規則を次に示します。
Cisco Secure VPN Client バージョン 1.0 ~ 1.1a のみ
Cisco VPN 3000 Client バージョン 2.x のみ
Cisco VPN Client 3.x 以降のみ
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
A. Cisco VPN Clientソフトウェアにアクセスするには、ログインしていて、有効なサービス契約が必要です。Cisco VPN Client ソフトウェアは Cisco の [Download Software](登録ユーザ専用)ページからダウンロードできます。Cisco.com プロファイルに関連する有効なサービス契約が結ばれていない場合はログインすることができず、VPN Client ソフトウェアをダウンロードできません。
有効なサービス契約を取得するには、次のいずれかを実行してください。
直接購入契約書をお持ちの場合は、Cisco の営業担当にご連絡ください。
Cisco.com プロファイルを更新してサービス契約への関連付けをリクエストするには、Profile Manager(登録ユーザ専用)をご利用ください。
A.ソフトウェアセンターのVPNクライアント領域(登録ユーザ専用)にアクセスする場合は、ページの中央で必ず目的のオペレーティングシステムのダウンロードエリアを選択してください。
A. 5.0 より前の VPN Client バージョンの場合:
『VPN Client Rel 4.7 リリース ノート』の「ドキュメントの変更」セクションにある次の 2 つのトピック「MSI を使用した、ステートフル ファイアウォールを使用しない Windows VPN Client のインストール」および「InstallShield を使用した、ステートフル ファイアウォールを使用しない Windows VPN Client のインストール」を参照してください。
5.0 以降の VPN Client バージョンの場合:
Cisco VPN Client リリース 5.0.3.0560 から、ファイアウォール ファイルのギルドのインストールを回避するために、MSI インストール フラグが追加されました。
msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1
これについての詳細は、「ステートフル ファイアウォールが不要の場合、ファイアウォール ファイルのインストールをバイパスする」セクションを参照してください。
A. Windows 2000およびWindows XPでCisco VPN Clientバージョン3.5以降を手動でアンインストール(InstallShield)した後、アップグレードする方法については、『MSIインストーラでインストールされたVPN Clientバージョンの削除』を参照してください。
Windows 2000 および Windows XP ソフトウェア用 Cisco VPN Client は、通知を表示できる VPN 3000 コンセントレータや他の VPN サーバからトンネルを経由して、アップデートおよび新しいバージョンを自動的かつ安全にダウンロードできます。このための最小必要条件は、自動アップデート機能を使用するために、リモート ユーザの PC に Windows 4.6 以降に対応する VPN Client がインストールされている必要があることです。
自動アップデートと呼ばれるこの機能を使用すれば、ユーザはソフトウェアの古いバージョンをアンインストールしてリブートし、新しいバージョンをインストールして再度リブートする必要はありません。代わりに、管理者が Web サーバ上でアップデートとプロファイルを利用可能にし、リモート ユーザが VPN Client を起動したときに、ソフトウェアによってダウンロードが可能であることが検出され、ダウンロードが自動的に行われます。詳細については、「自動アップデートの管理」および「自動アップデートが動作する仕組み」を参照してください。
ASDM を使用して Cisco ASA シリーズ 5500 適応型セキュリティ アプライアンスのクライアント アップデートを設定する方法の詳細は、「ASDM を使用したクライアント ソフトウェア アップデートの設定」を参照してください。
A. MSTファイルはVPN Clientに提供されなくなりましたが、Download Software(登録ユーザ専用)ページからダウンロードできます。
Filename :英語版の Windows にインストールする場合の Readme および MST。
A.新しいリリースのCisco VPN Client 5.0.07では、x86(32ビット)とx64の両方でWindows Vistaがサポートされています。詳細については、5.0.07.0240リリースノートを参照してください。
注:Cisco VPN ClientはWindows Vistaクリーンインストールでのみサポートされます。つまり、WindowsオペレーティングシステムからWindows Vistaへのアップグレードは、VPNクライアントソフトウェアではサポートされません。Windows Vista を新規でインストールしてから、Vista VPN Client ソフトウェアのインストールを行う必要があります。
注: Cisco.com プロファイルに関連する有効なサービス契約が結ばれていない場合はログインすることができず、VPN Client ソフトウェアをダウンロードできません。詳細は、「VPN Client ソフトウェアのダウンロード」を参照してください。
ヒント:Cisco AnyConnect VPN Clientは、Vista 32および64ビットを含むWindowsオペレーティングシステムで使用できるようになりました。AnyConnect クライアントでは、SSL および DTLS がサポートされています。現時点では、IPSec はサポートされていません。また、AnyConnect は、バージョン 8.0(2) 以降が稼働する Cisco 適応型セキュリティ アプライアンスとともに使用する場合にのみ使用できます。AnyConnect クライアントは、バージョン 12.4(15)T が稼働している IOS アプライアンスとともに、Web 起動モードで使用することもできます。VPN 3000 はサポートされていません。
Cisco AnyConnect VPN Client と ASA 8.0 は、Software Center(登録ユーザ専用)から入手できます。 AnyConnect Client の詳細は、『Cisco AnyConnect VPN Client リリース ノート』を参照してください。ASA 8.0 の詳細は、『Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスのリリース ノート』を参照してください。
注: お客様の Cisco.com プロファイルに有効なサービス契約が関連付けられていない場合は、ログイン、および AnyConnect VPN Client または ASA ソフトウェアのダウンロードを行うことができません。 詳細は、「VPN Client ソフトウェアのダウンロード」を参照してください。
A.セットアップは、実行しているMicrosoft Windowsのバージョンによって異なります。詳細は、Microsoft にお問い合せください。次に、Windows の一般的なバージョン用のセットアップ手順を示します。
Windows 95
- Msdun13.exe をインストールします。
- [Programs] > [Accessories] > [Dial Up Networking] の順に選択します。
- 「PPTP」という名前で新しい接続を作成します。
- 接続用のデバイスとして [VPN Adapter] を選択します。
- スイッチのパブリック インターフェイスの IP アドレスを入力し、[Finish] をクリックします。
- 先ほど作成した接続に戻り、右クリックして、[Properties] を選択します。
- Allowed Network Protocols の下で、少なくとも netbeui のチェックをはずします。
- [Advanced Options] を次のように設定します。
- スイッチとクライアントに認証方法を自動ネゴシエートさせる場合は、デフォルト設定のままにします。
- チャレンジ ハンドシェーク認証プロトコル(CHAP)認証を適用する場合は、[Require Encrypted Password] をイネーブルにします。
- MS-CHAP 認証を要求する場合は、[Require Encrypted Password] と [Require Data Encryption] をイネーブルにします。
Windows 98
- PPTP 機能をインストールするには、次の手順を実行します。
- [Start] > [Settings] > [Control Panel] > [Add New Hardware] の順に選択し、[Next] をクリックします。
- [Select from List] をクリックし、[Network Adapter] を選択して、[Next] をクリックします。
- 左パネルで [Microsoft]、右パネルで [Microsoft VPN Adapter] を選択します。
- PPTP 機能を設定するには、次の手順を実行します。
- [Start] > [Programs] > [Accessories] > [Communications] > [Dial Up Networking] の順に選択します。
- [Make new connection] をクリックし、[Select a device] に対して [Microsoft VPN Adapter] を選択します。VPN サーバ IP アドレスには 3000 トンネル エンドポイントの IP アドレスを指定します。
- パスワード認証プロトコル(PAP)も使用できるように PC の設定を変更するには、次の手順を実行します。
注:Windows 98のデフォルト認証では、パスワード暗号化(CHAPまたはMS-CHAP)が使用されます。
- [Properties] > [Server types] の順に選択します。
- [Require encrypted password] のチェックマークを外します。この領域でデータの暗号化(Microsoft Point-to-Point Encryption [MPPE] または MPPE なし)を設定できます。
Windows 2000
- [Start] > [Programs] > [Accessories] > [Communications] > [Network and Dialup connections] の順に選択します。
- [Make new connection] をクリックし、[Next] をクリックします。
- [Connect to a private network through the Internet and Dial a connection prior] を選択し(LAN がある場合はこれを選択しないでください)、[Next] をクリックします。
- トンネル エンドポイント(3000)のホスト名または IP アドレスを入力します。
- パスワード タイプを変更する場合は、[Properties] > [Security for the connection] > [Advanced] の順に選択します。デフォルトは MS-CHAP と MS-CHAP v2 です(CHAP または PAP ではありません)。 この領域でデータの暗号化(MPPE または MPPE なし)を設定できます。
Windows NT
『Installing, Configuring, and Using PPTP with Microsoft Clients and Servers』sを参照してください。
A. VPNクライアントでは、常に追加のオペレーティングシステムのサポートが追加されます。これを確認するには、VPN Client 5.0.07 のリリース ノートに記載されているシステム要件を参照するか、『IPSec/PPTP/L2TP をサポートする Cisco ハードウェアと VPN クライアント』を参照してください。
注:
VPN クライアントには、Windows XP および Windows Vista のデュアルプロセッサ ワークステーションおよびデュアルコア ワークステーションのサポートが含まれています。
Windows VPN Client リリース 4.8.00.440 は、Windows 98 オペレーティング システム サポートで公式にされた最後のバージョンです。
Windows VPN Client リリース 4.6.04.0043 は、Windows NT オペレーティング システムで公式にサポートされた最後のバージョンです。
Cisco VPN Client ver 5.0.07 は、x86(32 ビット)および x64(64 ビット)エディションの両方で Windows Vista および Windows 7 をサポートします。
Cisco VPN Client は、Windows XP 32 ビットのみをサポートし、Windows XP 64 ビットはサポートされません。
注: Windows Vista 32ビットサポートは5.xのすべてのリリースで利用可能でした。Cisco VPN Client バージョン 5.0.07 に 64 ビット サポートが追加されました。
A.はい。Windows NTおよびWindows 2000にVPN Clientをインストールするには、管理者権限が必要です。これらのオペレーティングシステムでは、既存のネットワークドライバにバインドしたり、新しいネットワークドライバをインストールしたりする管理者権限が必要です。VPN Client ソフトウェアはネットワーキング ソフトウェアです。インストールするには管理者権限が必要です。
A.いいえ。Cisco VPN 3000 Clientは、同じマシン上のMicrosoft ICSと互換性がありません。VPN Client をインストールする前に、ICS をアンインストールする必要があります。詳細は、『Microsoft Windows XP での Cisco VPN Client 3.5.X の新規インストールまたはアップグレードの準備の際の ICS の無効化』を参照してください。
同じ PC 上に VPN Client と ICS があると動作しませんが、次の配置であれば動作します。
A. Windows XPの組み込みファイアウォールが無効になっていることを確認します。
A.この問題は解決しました。Bug Toolkit で Cisco Bug ID CSCdx15865(登録ユーザ専用)を調べると、より詳細な情報を得ることができます。
A.インストールでは、初期画面とユーザーの高速切り替えが無効になります。Bug Toolkit で Cisco Bug ID CSCdu24073(登録ユーザ専用)を調べると、より詳細な情報を得ることができます。
A.サインオン後に、次のように入力します。
^Z
bg
A.この設定を調整するには、[Control Panel] > [Network Connections] > [Remove Network Bridge]を選択します。
A.これは、RedHatの新しいリリースに新しいバージョンのGCCコンパイラ(3.2+)が搭載されているため、現在のCisco VPN Clientで障害が発生するためです。この問題は修正されており、Cisco VPN 3.6.2a で提供されています。Bug Toolkit で Cisco bug ID CSCdy49082(登録ユーザ専用)を調べてより詳細な情報を得るか、VPN Software Center(登録ユーザ専用)からソフトウェアをダウンロードしてください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
A. GINA.dllがレジストリで指定されている場合、MicrosoftはWindows XPのFast User Switchingを自動的に無効にします。Cisco VPN Client は、「Start Before Login」機能を実装するために CSgina.dll をインストールします。Fast User Switching が必要な場合は、「Start Before Login」機能をディセーブルにしてください。登録ユーザであれば、Bug ToolkitでCisco Bug ID CSCdu24073(登録ユーザ専用)を調べられます。
A. SBL機能は、Windows7のIPsec VPNクライアントではサポートされていません。AnyConnect VPNクライアントではサポートされています。
A.この問題は、VPNクライアントコンピュータにファイアウォールパッケージがインストールされている場合に発生する可能性があります。このエラー メッセージが表示されないようにするには、ファイアウォール プログラムやアンチウイルス プログラムがインストールされていないこと、またはインストール時に PC 上で稼働していないことを確認してください。
A. Cisco VPN Client 4.xがMac OS X 10.3 ("Panther")で動作するには、/etc/CiscoSystemsVPNClient/Profiles/ディレクトリにあるプロファイル(.pcfファイル)にUseLegacyIKEPort=0を追加する必要があります。
A.ネットワークコントロールパネルをチェックして、Deterministic NDIS Extender(DNE)がインストールされていないことを確認してください。また、[Microsoft] > [Current Version] > [Uninstall] の順に選択して、アンインストール ファイルを確認します。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5} ファイルを削除して、もう一度アンインストールを実行します。
A. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstallキーを削除します。次にコンピュータをリブートし、VPN Client を再インストールします。
注:パスHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<key to be determined>でCisco VPN Clientソフトウェアの正しいキーを検索するには、HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\に移動し、[VPN Client]をクリックします。右側のウィンドウの Name 列の下にある Uninstall Path を確認します。 対応する Data 列に VPN Client キーの値が表示されます。このキーに注目するには、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\ に移動し、確認したキーを選択して削除します。
詳細は、『初期化エラーのトラブルシューティング 』および『Bug Toolkit』のCisco Bug ID CSCdv15391(登録ユーザ専用)を参照してください。
A.この問題が発生するのは、RedHatの新しいリリースに新しいバージョンのGCCコンパイラ(3.2+)が搭載されており、これにより現在のCisco VPN Clientで障害が発生するためです。この問題は修正されており、Cisco VPN 3.6.2a で提供されています。Bug Toolkit で Cisco bug ID CSCdy49082(登録ユーザ専用)を調べてより詳細な情報を得るか、VPN Software Center(登録ユーザ専用)からソフトウェアをダウンロードしてください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
A.この問題の症状は、Linuxクライアントが接続を試みているようですが、ゲートウェイデバイスから応答を受信しないことです。
Linux OS にはファイアウォール ipchains が組み込まれており、これによって UDP ポート 500、UDP ポート 1000、および Encapsulating Security Payload(ESP)パケットがブロックされます。このファイアウォールはデフォルトでオンになっているため、問題を解決するには、ファイアウォールをディセーブルにするか、または IPSec 通信の着信接続と発信接続で使用されるポートを開く必要があります。
A.製品のリリースノートに記載されているとおりに、Cisco VPN 5000 Clientはバージョン10.1.xまでサポートされているため、バージョン10.3ではサポートされていません。インストールスクリプトの実行後にインストールされた2つのファイルの権限をリセットできます。以下が一例です。
注:この設定は、シスコではサポートされていません。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
A. Deterministic Networksから最新のDNEアップグレードをインストールします 。
208 15:09:08.619 01/17/08 Sev=Debug/7 CVPND/0x63400015 Value for ini parameter VAEnableAlt is 1. 209 15:09:08.619 01/17/08 Sev=Warning/2 CVPND/0xE3400003 Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558) 210 15:09:08.619 01/17/08 Sev=Warning/3 CVPND/0xE340000C The Client was unable to enable the Virtual Adapter because it could not open the device.
A.これは非常に一般的なエラーメッセージで、通常はクライアントの手動アンインストールが必要です。次のリンクで示される手順に従ってください。Removing a VPN Client Version Installed with MSI Installer.
アンインストールが終了したら、必ずリブートしてください。その後、クライアントを再インストールします。ローカル マシンの管理者権限を持つユーザとしてログインするようにしてください。
A. VPN Clientを次のように閉じた後にサービスを再起動すると、問題を解決できます。
停止するには、次のようにします。
sudo kextunload -b com.cisco.nke.ipsec起動するには、次のようにします。
sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPNまた、VPN Client がインストールされている同じマシンで以下の機能が実行されてことを確認し、同じ機能をディセーブルにします。
仮想ソフトウェア(VMware フュージョン、Parallels、クロスオーバー)
ウイルス対策/ファイアウォール ソフトウェア
VPN Client と 64 ビット オペレーティング システムとの互換性『Cisco VPN Client リリース ノート』を参照してください。
A.理由442:failed to enable virtual adapter エラーは、重複する IP アドレスの検出が Vista によって報告されると表示されます。それ以降の接続失敗でも同じメッセージが表示されますが、Vista からは重複する IP アドレスが検出されたことは報告されません。この問題の解決方法についての詳細は、『Windows Vista における重複する IP アドレスが原因のエラー 442』を参照してください。
A. DNEアダプタをインストールすると、問題が解決する可能性があります。インストールには、MSI の代わりに InstallShield バージョンを使用することをお勧めします。
A.このエラーは、Windows 7とWindows Vistaが重複するIPアドレスを検出したことを報告した後に表示されます。それ以降の接続失敗でも同じメッセージが表示されますが、OS からは重複する IP アドレスが検出されたことは報告されません。この問題の解決方法についての詳細は、『Windows 7 および Vista における重複する IP アドレスが原因のエラー 442』を参照してください。
A.この問題は、MAC OSリリース4.9のCisco VPN Clientでは64ビットサポートが利用できないために発生します。回避策として、32ビットカーネルモードでブートできます。詳細は、Cisco Bug ID CSCth11092(登録ユーザ専用)および『MAC OSX 対応 Cisco VPN Client のリリース ノート』を参照してください。
A.いいえ。Nortel ClientはCisco VPN 3000コンセントレータに接続できません。
A.いいえ。同じPCに複数のVPNクライアントがインストールされている場合は、既知の問題があります。
A. Cisco VPN Clientは、サードパーティ製VPNコンセントレータではサポートされていません。
A. Cisco VPN Client 1.1には独自の証明書ストアがあります。Cisco VPN Client 3.x では、Common-Application Programming Interface(CAPI)を使用して Microsoft の保存域に証明書を保存することも、Cisco 独自の保存域(RSA Data Security)に証明書を保存することもできます。
A.いいえ、グループ名とユーザー名を同じにすることはできません。これはソフトウェアバージョン2.5.2および3.0で見られ、3.1.2に統合された既知の問題です。詳細については、Bug ToolkitでCisco Bug ID CSCdw29034(登録ユーザ専用)を参照してください。
A.いいえ。この種類のカードはサポートされていません。
A. Cisco VPN Clientは、最大伝送ユニット(MTU)サイズを調整するようになりました。[Set MTU Utility] オプションは、必須のインストール ステップではなくなりました。[Set MTU] オプションは、主に接続性の問題のトラブルシューティングに使用されます。Windows マシンで [SetMTU] オプションを選択するパスは、[Start] > [Programs] > [Cisco Systems VPN Client] > [SetMTU] です。[SetMTU] オプションや他のオペレーティング システムでこのオプションを設定する方法の詳細については、「[SetMTU] オプションによる MTU サイズの変更」を参照してください。
A. Cisco VPN Client GUIバージョン4.0以降でサポートされている言語は、カナダ、フランス語、日本語です。
A.より高いレベルのセキュリティを提供するため、VPN Clientは、サポートされているファイアウォールの動作を強制するか、インターネットに送信されるトラフィックに対してプッシュされたステートフルファイアウォールポリシーを受信できます。
現在、VPN Client 5.0 は次のパーソナル ファイアウォールをサポートしています。
BlackIce Defender
Cisco Security Agent
Sygate Personal ファイアウォール
Sygate Personal Pro ファイアウォール
Sygate Security Agent
ZoneAlarm
ZoneAlarmPro
バージョン 3.1 以降では、リモート ユーザがインストールしているパーソナル ファイアウォール ソフトウェアを検出し、該当するソフトウェアがない場合はそのユーザからの接続を禁止する新しい機能が VPN 3000 コンセントレータに追加されています。この機能を設定するには、[Configuration] > [User Management] > [Groups] > [Client FW] の順に選択し、グループのタブを選択します。
Cisco VPN Client マシンでのファイアウォール ポリシーの適用の詳細については、「ファイアウォール設定のシナリオ」を参照してください。
A. Cisco VPN Clientは、スプリットトンネリングを使用しないとAOL 7.0では動作しません。Bug Toolkit で Cisco Bug ID CSCdx04842(登録ユーザ専用)を調べると、より詳細な情報を得ることができます。
A.この30分間にユーザ接続に通信アクティビティがない場合、システムは接続を終了します。アイドル タイムアウトのデフォルト設定は 30 分になっていますが、最小 1 分から最大 2,147,483,647 分(4,000 年超)までの値に設定可能です。
[Configuration] > [User Management] > [Groups] の順に選択して、適切なグループ名を選択して、アイドル タイムアウトの設定を変更します。[Modify Group] を選択して、[HW Client] タブをクリックし、に移動し、望ましい値を [User Idle Timeout] フィールドに入力します。 0 を入力すると、タイムアウトがディセーブルになり、無制限にアイドルが許可されます。
A. vpnclient.iniファイルが最初にインストールされたときにVPN Clientソフトウェアにバンドルされている場合、インストール中にVPN Clientが自動的に設定されます。またプロファイル ファイル(接続エントリごとに 1 つの .pcf ファイル)を、自動設定用に事前設定された接続プロファイルとして配布することもできます。VPN Client ソフトウェアのコピーをインストールするユーザに配布するには、次の手順を実行します。
配布用 CD-ROM から、vpnclient.ini(グローバル)ファイルおよび特定のユーザ群に対して個別の接続ファイルを作成した各ディレクトリへ VPN クライアント ソフトウェア ファイルをコピーします。
注:Mac OS Xプラットフォームでは、VPN Clientをインストールする前に、事前設定されたファイルがProfilesフォルダとResourcesフォルダに配置されます。vpnclient.ini ファイルは、インストーラのディレクトリに配置されます。VPN クライアント インストーラのディレクトリ内にあるカスタム vpnclient.ini ファイルは、Profiles フォルダおよび Resources フォルダと同じレベルに配置する必要があります。詳細は、『VPN Client User Guide for Mac OS X』の第2章を参照してください
バンドルされたソフトウェアを準備し、それを配布します。CD-ROM またはネットワークによる配布。vpnclient.ini ファイルおよびプロファイル ファイルが、すべての CD-ROM イメージ ファイルと同じディレクトリにあることを確認します。ユーザは、このディレクトリからネットワーク接続を使用してインストールできます。または、配布用の新しい CD-ROM にすべてのファイルをコピーできます。もしくは、このディレクトリにあるすべてのファイルを含む自己解凍 zip ファイルを作成し、それをユーザがダウンロードして、ソフトウェアをインストールできます。
ユーザに対し、設定に必要なその他の情報や指示を与えます。ご使用のプラットフォームに対応する『VPN Client User Guide』の第 2 章を参照してください。
A. NICカードで最新のドライバを実行していることを確認します。これは常に行うことをお勧めします。可能であれば、問題がオペレーティング システム、PC ハードウェア、および他の NIC カードに固有であるかどうかを確認するために、テストを行ってください。
A. VPN接続へのダイヤルアップを完全に自動化するには、[Options] > [Properties] > [Connections]の順に選択し、ダイヤルアップネットワークの電話帳エントリをCisco VPN Clientがプルダウンできるように設定します。
A.リモートシステム上のVPN Clientソフトウェアを更新する時間になったら、VPN Clientユーザに通知できます。段階的な手順については、「リモート ユーザへのクライアント アップデートの通知」を参照してください。このプロセスのステップ 7 に記載されているとおり、必ずリリース情報を「(Rel)」と入力してください。
A. Cisco VPN Clientはフォールバックモードです。このことが遅延に影響しています。フォールバック モードでは、Start Before Logon が使用されているときの VPN クライアントの動作が異なります。フォールバック モードで動作する場合、VPN Client では必要な Windows サービスが起動しているかどうか確認されません。その結果、Cisco VPN Clientをアンインストールし、問題のアプリケーションを削除して、「フォールバック」モードにならずに起動できるようにしてください。その後、Cisco VPN Client を再インストールします。フォールバック モードの詳細については、「Start Before Logon」を参照してください。
Bug Toolkit で Cisco Bug ID CSCdt88922(登録ユーザ専用)と CSCdt55739(登録ユーザ専用)を調べると、より詳細な情報を得ることができます。
A. ipsecdialer.exeは、Cisco VPN Clientバージョン3.xの最初の起動メカニズムでした。GUI がバージョン 4.x で変更された際に、vpngui.exe という新しい実行可能ファイルが作成されました。ipsecdialer.exe ファイルは下位互換性のために名前のみを継承したものであり、単に vpngui.exe を起動するだけです。ファイル サイズが異なっているのはこのためです。
したがって、Cisco VPN Client をバージョン 4.x からバージョン 3.x にダウングレードすると、ipsecdialer.exe ファイルを使用して VPN Client を起動する必要があります。
A.起動フォルダのCisco VPN Clientは、「Start Before Logon」機能をサポートしています。この機能を使用しない場合、スタートアップ フォルダにこのアイコンを置く必要はありません。
A. 「Start Before Logon」機能には「user_logon」が必要ですが、ユーザによるCisco VPN Clientの通常の起動では必要ありません。
A.複数のネットワークアドレス変換(NAT)/PATの実装に不具合があり、1024未満のポートが変換されません。Cisco VPN Client 3.1では、NAT透過が有効になっている場合でも、Internet Security Association and Key Management Protocol(ISAKMP)セッションではUDP 512が使用されます。最初のVPNクライアントはPATデバイスを通過し、外部の送信元ポート5112112を112のままにします。2 番目の VPN Client が接続するときには、ポート 512 はすでに使用中になっています。そのため、接続に失敗します。
考えられる回避策は 3 つあります。
PAT デバイスを修理する。
VPN Client を 3.4 にアップグレードし、TCP カプセル化を使用する。
すべての VPN Client に代えて VPN 3002 をインストールする。
A. SOHOルータ/ファイアウォールなどのPATを実行するデバイスの背後にクライアントが両方とも存在しない限り、2つのクライアントが同じ場所から同じヘッドエンドに接続できます。多くの PAT デバイスでは、1 つの VPN 接続をその背後のクライアントにマッピングできますが、2 つをマッピングすることはできません。PAT デバイスの背後の同じ場所から 2 台の VPN Client を接続できるようにするためには、NAT-T、IPSec over UDP、IPSec over TCP など、何らかのカプセル化をヘッド エンドでイネーブルにします。一般には、クライアントとヘッド エンドの間に NAT デバイスが存在する場合は、NAT-T か別のカプセル化をイネーブルにします。
A.ノートPCがLAN接続からのルーティング情報を保持している可能性があります。この問題の解決方法についての詳細は、『VPN クライアント使用時における Microsoft のルーティング問題』を参照してください。
A. HKLM\Software\Cisco Systems\VPN Client\TunnelEstablishedという名前のレジストリキーを確認します。トンネルがアクティブな場合、値は1です。トンネルがない場合、値は0です。
A.接続設定を制御するには、次の適切な手順に従います。
PC のメインドライブで、[Program Files] > [Cisco Systems] > [VPN Client] > [Profiles] の順に選択します。使用しているプロファイルを右クリックし、サブメニューから [Open With] を選択し、Notepad などのプログラムでプロファイルを開きます(使用するプログラムを選択するときに、必ず [Always use this program to open these files] というボックスのチェックマークを外してください)。 ForcekeepAlives のプロファイル パラメータを探し、値を 0 から 1 に変更して、プロファイルを保存します。
または
VPN Client で、[Options] > [Properties] > [General] の順に選択し、この『サンプル ウィンドウ』に示すように、「Peer response timeout」の値を入力します。タイムアウトの間隔は 30 ~ 480 秒の範囲で指定できます。
または
VPN コンセントレータで、[Configuration] > [User Management] > [Groups] > [modify group] の順に選択します。[IPSec] タブで、このサンプル ウィンドウに示すように、IKE キープアライブのオプションを選択します。
Dead Peer Detection(DPD)のインターバルは、間隔設定によって異なります。応答が受信されなくなると、さらにアグレッシブなモードに移行し、ピア応答のしきい値に達するまで 5 秒ごとにパケットが送信されます。その時点で、接続が切断(クリア)されます。キープアライブはディセーブルにできますが、そうすると、接続が実際に切断された場合は、タイムアウトになるまで待機する必要があります。最初は間隔値をきわめて低く設定することをお勧めします。
A.いいえ。二重認証はCisco VPN Clientではサポートされていません。
A. Cisco VPN Clientがメインモードで接続できるようにするには、デジタル署名(証明書)を使用する必要があります。これを実現するに次の 2 つの方法があります。
ルータおよびすべての Cisco VPN Client で、サードパーティ認証プロバイダー(たとえば、Verisign または Entrust)から CA 証明書を取得します。同じ CA サーバから ID 証明書を登録し、Cisco VPN Client とルータ間で認証する方法としてデジタル署名を使用します。この設定についての詳細は、「Entrust 証明書を使用する Cisco IOS ルータと Cisco VPN Client の間の IPSec の設定」を参照してください。
2 番目のオプションは、リモート アクセス VPN へのヘッドエンドとともに CA サーバとしてルータを設定する方法です。証明書(および他のすべて)をインストールすると、ルータが CA サーバとして動作する以外、前のリンクで説明されているとおりになります。詳細については、「ハブ設定の例で IOS CA を使用した Cisco IOS ルータ間のダイナミック LAN-to-LAN VPN」を参照してください。
A.パラメータを読み取り専用にするには、.pcfファイルの各パラメータの前に感嘆符(!)を追加します。
VPN Client のユーザは感嘆符(!)で始まるパラメータの値を変更できません。GUI 内のこれらの値のフィールドはグレー表示されます(読み取り専用)。
次に設定例を示します。
元の .pcf ファイル
[main] Description=connection to TechPubs server Host=10.10.99.30 AuthType=1 GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85 1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= Username=alice変更された .pcf ファイル
[main] !Description=connection to TechPubs server !Host=10.10.99.30 AuthType=1 !GroupName=docusers GroupPwd= enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C 851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF EnableISPConnect=0 ISPConnectType=0 ISPConnect= ISPCommand= !Username=aliceこの例では、ユーザは Description、Host、GroupName、および Username の値を変更できません。
A.いいえ。MACアドレスに基づいてVPNクライアントへのアクセスを制限することはできません。