Segurança : Cisco IOS SSLVPN

Cliente VPN FAQ SSL

20 Setembro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (15 Setembro 2014) | Feedback


Perguntas


Introdução

Este documento fornece informações sobre as perguntas mais frequentes (FAQ) relacionadas ao Cliente de VPN com SSL (SVC). O SVC da Cisco fornece aos usuários finais, que executam o Microsoft Windows XP ou o Windows 2000, os benefícios de um Cisco IPsec VPN Client sem a carga excessiva administrativa necessária para instalar e configurar um cliente de IPSec. O SVC da Cisco suporta aplicativos e funções indisponíveis para uma conexão de WebVPN padrão.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Apoio de Produtos

Q. O cliente VPN SSL é apoiado na ferramenta de segurança adaptável de Cisco ASA 5500?

A. O cliente VPN SSL é apoiado na versão de software 7.1 da ferramenta de segurança adaptável de Cisco ASA 5500.

Q. O cliente VPN SSL é apoiado nos IOS Router ou em Cisco 6500/7600?

A. O cliente VPN SSL é apoiado em Cisco 870, 1800, 2800, 3700, na 3800, em 7200, e em 7301 Router que executam imagens da segurança avançada do Cisco IOS Software Release 12.4(6)T. Para obter mais informações sobre de IO WebVPN, refira recursos de VPN da Web do Cisco IOS. O Módulo de serviços de Cisco WebVPN apoia o cliente VPN SSL em Cisco 6500/7600.

Q. Que software release eu preciso no Cisco VPN 3000 Concentrator a fim apoiar o Cisco SSL VPN Client?

A. Os concentradores do Cisco VPN 3000 executam o Software Release 4.7 ou Mais Recente para o apoio do Software Release 1.0.1 ou Mais Recente do cliente VPN SSL.

Nota: Para o Cisco SSL VPN Client libere 1.0.2, Software Release 4.7.2 ou Mais Recente da corrida dos concentradores do Cisco VPN 3000. A liberação 1.0.2 do Cisco SSL VPN Client não se opera com um VPN 3000 concentrator que execute um software release mais cedo de 4.7.2.

Se você precisa de promover o VPN 3000 concentrator ao Software Release 4.7.2, refira o melhoramento para liberar a seção 4.7.2 dos Release Note para o concentrador da Cisco VPN 3000 Series, a liberação 4.7.2.

Q. A autenticação de dois fatores é apoiada no cliente VPN SSL?

A. O cliente VPN SSL apoiam a autenticação de dois fatores na versão ASA 8.2(x) e mais atrasado. Não é apoiada nas versões mais cedo de 8.2.(x).

Instalação

Q. Como eu instalo um Cisco SSL VPN Client no Cisco VPN 3000 Concentrator?

A. Termine estas etapas para instalar um Cisco SSL VPN Client no VPN 3000 concentrator:

Nota: Antes que você comece a transferência, certifique-se de que seu desktop pode alcançar o Cisco VPN 3000 Concentrator.

  1. Transfira o arquivo sslclient-win*.package do cliente SSL em seu desktop. Continue a etapa 2 se o VPN 3000 concentrator não executa o Software Release 4.7.2. Continue diretamente a etapa 3 se o o VPN 3000 concentrator executa o Software Release 4.7.2.
  2. Promova o VPN 3000 concentrator ao Software Release 4.7.2. Refira o melhoramento para liberar a seção 4.7.2 dos Release Note para o concentrador da Cisco VPN 3000 Series, a liberação 4.7.2.
  3. No concentrador VPN, escolha a configuração > o Tunelamento e a Segurança > o WebVPN > o Cisco SSL VPN Client e o clique instalam um SVC novo.
  4. Clique consultam e vão ao diretório onde você transferiu o software do cliente VPN SSL.
  5. O clique aplica-se para transferir o cliente VPN SSL no VPN 3000 concentrator.

    Nota: O cliente VPN SSL é carregado já na liberação 4.7 do Cisco VPN 3000 Concentrator.

Q. O SVC e o CSD apoiam o Windows 2000 da língua chinesa e o XP?

A. Não.

Q. A instalação do SVC trabalha com MSJVM?

A. Sim, embora nota que Microsoft não apoia este dezembro passado 31, 2007. De facto, isto pode já não ser transferido da site do microsoft; dirige-o (Sun JVM) aos clientes alternativos das Javas.

Q. Faz Windows 98 do suporte ao cliente SVC?

A. Não há nenhum plano para apoiar Windows 98 com este SVC. Windows 98 realiza-se sobre os anos 7 velhos e está-se quase no ponto EOS por Microsoft. Somente o Windows 2000 e o XP são apoiados porque somente aqueles sistemas operacionais de Windows permitem a instalação de um driver de rede sem uma repartição.

Q. Como eu paro o cliente VPN SSL da tentativa instalar no PC cada vez que eu conecto ao WebVPN?

A. Verifique o MANTIMENTO a opção do CISCO SSL VPN CLIENT na estação de trabalho do cliente VPN SSL. A próxima vez que você tenta entrar com o cliente VPN SSL, verifica com o concentrador VPN para certificar-se de que a versão que tem é a mesma que aquela do concentrador VPN e de que está a mais atrasada.

Escolha parâmetros do configuration > user management > do grupo base, do grupo e/ou do usuário e aba WebVPN: Mantenha o Cisco SSL VPN Client a fim realizar isto.

Q. Como eu instalo o SVC silenciosamente e desinstalo o SVC do sistema de cliente?

A. A fim instalar o SVC sem nenhumas alertas, use o interruptor de /nodlgnoerr do stcie (/? para a ajuda). A fim desinstalá-la, use o desinstalar invisível.

Q. Pode instalar Habilitador para ser desinstalado por usuários não privilegiados?

A. Não, privilégios do administrado é exigido para instala e desinstala.

Q. O pre-instalador STCIE.EXE parece somente instalar o serviço de “STCAgent”. Pode igualmente instalar o LSP do “adaptador de VPN Cisco Systems SSL”?

A. O objetivo é instalar o mínimo limitado necessário para o resto da instalação continuar e manter o tamanho da transferência do arquivo a um mínimo, a não instalar o pacote inteiro.

Q. Que é o processo da instalação do SVC, e pode este ser empacotado com SMS de Microsoft?

A. O STCIE é um enabler da instalação. Não instala o direcionador. Apenas instala bastante código para fornecer o impulso do privilégio necessário terminar a instalação. Na discussão abaixo, o problema não pode ser resolvido com o enabler da instalação desde que a edição é que a transferência do arquivo temporário e executa é obstruída pela política CSA que executam.

Além, o svcxxx.zip pode ser aerto o zíper em todo o trajeto e aquele põe STCIE.EXE em qualquer trajeto que o usuário escolher. O STCIE.EXE não instala o pacote inteiro SVC. Instala somente bastante componentes para transferir e instalar o SVC inteiro quando o usuário conecta ao SG a próxima vez (com privilégios admin). O STCIE.EXE é sabido igualmente como da “o enabler instalação.” O SVC instala o trajeto é no código e não é configurável. Possivelmente um caminho de instalação configurável não é uma boa característica SVC. Também, “C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8" é uma loja provisória SVC que seja adquirida do OS e não seja visível para o usuário. Se há uma edição para esta loja provisória, é o problema de configuração do OS. Recuperado de “http://vpnpedia/index.php/SSL_VPN_FAQ.”

Q. O RAIO com expiração e o MS IAS são apoiados com o cliente VPN SSL?

A. Não O RAIO com expiração não é apoiado para SSL VPN; o apoio para esta característica está somente disponível no ASA, e não há nenhum plano para que esta característica esteja disponível para os sistemas 3K atuais.

Q. Pode o SVC coexistir com o cliente nortel?

A. Testado com o cliente nortel da versão 4.65 com SVC, trabalha muito bem.

Licenciar

Q. Eu tenho uma licença 10-user para SSL VPN no ASA. Como eu promovo a 100 SSL VPN uma licença de usuário?

A. Você não pode diretamente promover ao 100-user uma licença de uma licença 10-user. Você precisa de comprar um 10-25 SSL VPN, então 25-50 SSL VPN, e então 50-100 SSL VPN. Se você tenta promover diretamente, este pode impedir do uso de outras licenças também. Refira a informação licenciando (clientes registrados somente) para mais informação.

Serviços

Q. Que tipo do Access Control Lists (ACLs) o cliente VPN SSL apoia?

A. O cliente VPN SSL apoia o tipo ACL e não WebVPN ACL IP. Você pode filtrar o tráfego do cliente VPN SSL quando você escolhe filtros sob a aba do general Grupo. Isto é similar ao software do cliente VPN.

Q. Posso eu atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT com o DHCP aos dispositivos quando eu uso o cliente VPN SSL?

A. Sim, quando você usa o cliente VPN SSL você pode obter endereços IP de Um ou Mais Servidores Cisco ICM NT de um servidor DHCP ou de um conjunto local de endereços criados no VPN 3000 concentrator.

Q. Os trabalhos do cliente VPN SSL muito bem mas não resolvem nomes de DNS, por que?

A. Se você configurou o cliente VPN ou o cliente de PPTP para usar o mesmo grupo que aquele do cliente VPN SSL, assegure-se de que você permita o IPsec no grupo onde o cliente conecta. Isto resolve a edição DNS.

Q. Pode o controle da máquina remota ser feito com o SVC, mesmo se o Split Tunneling é permitido?

A. O RDP deixa cair a conexão pelo projeto. Nenhum outro aplicativo de controle remoto foi testado.

Q. Pode o cliente VPN SSL (SVC) ter o apoio para os recursos de expiração da senha?

A. Não.

Q. O início de uma sessão falha em SSL VPN quando os caráteres NON-ASCII (ä, ü) estam presente no username ou na senha. Por que isso acontece?

A. Esta edição é devido à identificação de bug Cisco CSCso04556 (clientes registrados somente).

A ação alternativa esta edição, evita os caráteres (NON-ASCII) especiais no nome de usuário e senha.

Mensagens de erro

Q. O cliente VPN SSL não se lança em Windows Vista com internet explorer 7, e o usuário obtém o instalador está transferindo x ativo….O instalador não podia começar o cliente VPN SSL…. Mensagem de Erro, por que?

A. Causa:

O erro aparece porque o cliente VPN SSL (SVC) não inicia uma conexão.

Isto acontece devido a ActiveX instala/problemas da transferência em Windows Vista com Microsoft Internet explorer 7. que Windows Vista é enviado com internet explorer 7, que tem inteiramente um novo modelo que trate o ActiveX. Com exceção das diferenças em ActiveX, a pilha dos trabalhos em rede foi reescrita, e a tabela de roteamento é diferente. Há alguns outros caprichos que podem afetar o cliente, também.

Resolução:

O SVC não é compatível com ou apoiado em Windows Vista com o navegador do internet explorer 7 a partir de agora.

A ação alternativa é usar plataformas suportadas, tais como Windows XP, com internet explorer 7.

Nota:  O SVC é apoiado em Windows Vista com o navegador do internet explorer 7 na versão ASA 8.x e mais tarde.

Q. Os usuários atrás de uma proxy da Microsoft não recebem os “nenhuns dos Protocolos de autenticação oferecidos pelo servidor proxy são apoiados.” erro quando conectarem ao concentrador VPN através do cliente VPN SSL, por que?

A. Este Mensagem de Erro significa geralmente que o servidor proxy está configurado para usar um mecanismo da autenticação que não seja apoiado pelo cliente VPN SSL. Neste momento, o gerenciador de LAN de NT (NTLM) e básicos são os únicos protocolos apoiados pelo cliente VPN SSL. Use sempre o NTLM quando você usa o servidor proxy.

Q. Eu recebo o o cliente VPN SSL era incapaz de alterar a tabela do encaminhamento de IP. Uma conexão de VPN SSL não será Mensagem de Erro estabelecido, e o VPN não conecta. Por que isso acontece?

A. Esta edição é devido à identificação de bug Cisco CSCeh52036 (clientes registrados somente). Refira o erro para mais informação.

Q. Como você resolve estes erros ao tentar alterar uma personalização objeta para SSL VPN no ASDM? Do “personalização name1 disk0:/tmpAsdmImportFile1943056207” “%ERROR do webvpn da importação [ERROR]: tentativa “autêntico-página” ao campo de índice (um valor de nada)”

A. Este comportamento do erro foi observado e arquivado como a identificação de bug Cisco CSCti42085 (clientes registrados somente). A fim resolver este erro, fixe o DfltCustomization XML e experimente-o de novo então.

  1. Exporte o DfltCustomization.

  2. Procure a etiqueta do <form-order> e então para esta lista:

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[500]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>

    Observe que o secundário-username e a senha secundária têm o mesmo identificador da ordem.

  3. Corrija isto mudando a entrada da senha secundária a 600.

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[600]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>
  4. Importe o arquivo corrigido XML sobre o DfltCustomization existente.

O ASDM deve agora poder requisitar novamente a ordem de campos do formulário do fazer logon.

Diversos

Q. Pode um script do início de uma sessão de Windows obter executado quando conectado através do cliente VPN SSL?

A. Isto não é possível através do cliente VPN SSL porque não há nenhum COMEÇO ANTES do equivalente do INÍCIO DE UMA SESSÃO neste tempo.

Q. Posso eu ter uma lista de Authentication Server quando eu uso o cliente VPN SSL?

A. Sim, se o primeiro server na lista é inacessível, o server seguinte na lista é contactado.

Q. Como posso eu evitar avisos do certificado para o SVC no concentrador?

A. Distribua o root confiável do concentrador e importe o certificado do concentrador de um conhecido, root confiável.

Q. É o SSL rekey um peso mais claro do que o IPsec?

A. O SSL rekey não exige um RSA cripto ou operação DH. O segredo mestre que foi usado no aperto de mão inicial é combinado com os dados aleatórios novos do server e do cliente para gerar chaves novas. Note isso no SSL rekey, todos os apertos de mão são cifrados com SSL.

Q. Se ActiveX e as Javas são desabilitados, eu não posso executar a instalação SVC através do navegador. Devo eu obter STCIE.EXE?

A. Se ActiveX e as Javas não detectam no PC cliente, o usuário está dirigido à página portal WebVPN, mas somente se “exija o Cisco SSL VPN Client” a opção sob os parâmetros WebVPN para o grupo de interesse não é verificada. Se esta opção é verificada, a reorientação à página portal WebVPN não ocorre. Não há nenhuma opção para transferir um pacote da instalação para o cliente VPN SSL.

Nota: Há um arquivo sslclient-win-1.0.0.x.zip que contenha um pacote instalar para instalar o serviço do agente SVC (com privilégios admin) em um PC cliente. Este procedimento de instalar é detalhado nos Release Note. Uma vez que instalado, isto permite o pacote completo do cliente VPN SSL ser transferido e instalado quando no modo NON-admin com o ActiveX/Javas transfira o mecanismo, que precisa de ser permitido no PC cliente.

Q. Que privilégios são exigidos ao estam presente dentro do IE para permitir ActiveX funcionar?

A. Quando uma conta do “convidado” é criada em um PC cliente, é importante determinar com que grupo que a conta do “convidado” é associada. A fim fazer isto, para clicar com o botão direito o meu computador e escolhê-lo controle > usuários locais e grupos > usuários. Escolha um usuário, fazer duplo clique, e determine de que grupo que o usuário é um membro. A lista inclui administradores, usuários de força, e usuários. O grupo de usuários não permite ActiveX funcionar, visto que o outro faz.

Q. Se você quer usuários estabelecer um túnel SSL VPN “em uma máquina corporativa,” há qualquer coisa que pode ser feito para verificar a plataforma antes que o VPN esteja estabelecido ou mesmo antes da autenticação?

A. Sim, Cisco Secure Desktop do uso com o registro, arquivo/mistura, ou certificado digital para fazer esta determinação.

Q. Como a negociação SSLv3/TLSv1 trabalha?

A. As políticas da negociação SSLv3/TLSv1 e da aceitação do certificado são a aplicação “padrão” de Microsoft. Ou seja o SSLv3/TLSv1 usa o arquivo encaixado de Microsoft SChannel.dll, e a manipulação do certificado é aplicação “padrão” do navegador como parte da loja do certificado IE, isto é, o método da negociação de SSL e da manipulação do certificado não muda “do comportamento do padrão MS”.

Q. Quando a pulsação do coração configurável foi executada no SVC e no 3K?

A. Estes DDTS cobrem as mudanças necessárias no cliente VPN SSL quando você se opera atrás de um servidor proxy de Netcache e é executado na liberação 1.0.1.116 SVC liberou em junho 30, 2005. O CSCsb08657 SVC não passa dados quando é atrás de um dispositivo NAT, com as terminações intermitentes do servidor proxy CSCsb01423 um SVC, ou quando atrás de um servidor proxy CSCsa97704 de Netcache. Uma pulsação do coração configurável é precisada de manter uma conexão de proxy aberta. As mudanças correspondentes exigidas para a extremidade principal VPN3000 foram liberadas como parte 4.7.2 da liberação em junho 21, 2005. Se a liberação 4.7.2 (ou mais tarde) é usada, é necessário promover a versão do SVC a 1.0.1.116 ou a mais tarde. CSCei01721 - uma pulsação do coração configurável é precisada de manter acima a conexão de proxy SVC.

Q. Quando o auto suporte de proxy foi adicionado ao SVC?

A. Isto foi adicionado como parte do DDTS CSCsd05126 na liberação 1.1.0.x.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 67909