Sécurité : Cisco IOS SSLVPN

Client VPN SSL - Forum Aux Questions

20 septembre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (15 septembre 2014) | Commentaires


Questions


Introduction

Ce document fournit des informations sur les questions fréquentes (le Forum Aux Questions) à propos du client de routage VPN SSL (SVC). Le client SVC Cisco fournit aux utilisateurs finaux qui exécutent Microsoft Windows XP ou Windows 2000, les avantages d'un client de routage VPN IPSec Cisco sans la surcharge administrative requise pour installer et configurer un client de routage IPsec. Cisco SVC prend en charge des applications et des fonctions non disponibles sur une connexion WebVPN standard.

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Assistance sur les produits

Q. Le client de routage VPN SSL est-il pris en charge sur l'appliance de sécurité adaptable Cisco ASA 5500 ?

A. Le client de routage VPN SSL est pris en charge dans la version 7.1 de l'appliance de sécurité adaptable Cisco ASA 5500.

Q. Le client de routage VPN SSL est-il pris en charge sur les routeurs IOS ou sur Cisco 6500/7600 ?

A. Le client de routage VPN SSL est pris en charge sur les routeurs Cisco 870, 1800, 2800, 3700, 3800, 7200 et 7301 qui exécutent des images de sécurité avancée du logiciel Cisco IOS version 12.4(6)T. Pour plus d'informations sur WebVPN d'IOS, consultez les ressources WebVPN de Cisco IOS. Le module de services WebVPN de Cisco prend en charge le client VPN SSL sur le Cisco 6500/7600.

Q. De quelle version de logiciel est-ce que j'ai besoin sur le concentrateur Cisco VPN 3000 afin de prendre en charge le client VPN SSL Cisco ?

A. Les concentrateurs de Cisco VPN 3000 exécutent la version de logiciel 4.7 ou ultérieures pour le support de la version de logiciel 1.0.1 ou ultérieures de client de VPN SSL.

Remarque: Pour la version 1.0.2 du client VPN SSL Cisco, les concentrateurs Cisco VPN 3000 exécutent la version 4.7.2 ou ultérieure. La version 1.0.2 du client VPN SSL Cisco ne fonctionne pas avec un concentrateur VPN 3000 qui exécute une version de logiciel antérieure à 4.7.2.

Si vous devez mettre à niveau le concentrateur VPN 3000 à la version 4.7.2, consultez la section Mise à niveau vers la version 4.7.2 des Notes de publication pour le concentrateur de la série Cisco VPN 3000, version 4.7.2.

Q. L'authentification à deux facteurs est-elle prise en charge dans le client VPN SSL ?

A. Le client de VPN SSL prend en charge l'authentification à deux facteurs dans la version 8.2(x) et ultérieures ASA. Elle n'est pas prise en charge dans les versions antérieures à 8.2.(x).

Installation

Q. Comment est-ce que j'installe un client VPN SSL Cisco sur le concentrateur Cisco VPN 3000 ?

A. Terminez-vous ces étapes pour installer un Client VPN SSL Cisco sur le concentrateur VPN 3000 :

Remarque: Avant de commencer le téléchargement, assurez-vous que votre ordinateur de bureau peut accéder au concentrateur Cisco VPN 3000.

  1. Téléchargez le fichier du client SSL sslclient-win*.pkg sur votre ordinateur de bureau. Passez à l'étape 2 si le concentrateur VPN 3000 n'exécute pas la version de logiciel 4.7.2. Passez directement à l'étape 3 si le concentrateur VPN 3000 exécute la version de logiciel 4.7.2.
  2. Mettez à niveau le concentrateur VPN 3000 à la version de logiciel 4.7.2. Consultez la section Mise à niveau vers la version 4.7.2 des Notes de publication du concentrateur de la série Cisco VPN 3000, version 4.7.2.
  3. Sur le concentrateur VPN, choisissez Configuration > Tunneling and Security > WebVPN > Cisco SSL VPN Client et cliquez sur Install a new SVC.
  4. Cliquez sur Browse et allez au répertoire où vous avez téléchargé le logiciel client VPN SSL.
  5. Cliquez sur Apply pour télécharger le client VPN SSL sur le concentrateur VPN 3000.

    Remarque: Le client VPN SSL est déjà chargé sur la version 4.7 du concentrateur Cisco VPN 3000.

Q. SVC et CSD prennent-ils en charge Windows 2000 et XP en langue chinoise ?

A. Non.

Q. L'installation du SVC fonctionne-t-elle avec MSJVM ?

A. Oui, mais remarquez que Microsoft ne le prend plus en charge depuis le 31 decembre 2007. En fait, il n'est plus possible de le télécharger depuis le site Web de Microsoft ; le site vous dirigera vers des clients Java alternatifs (Sun JVM).

Q. Le client de SVC prend en charge-il le Windows 98 ?

A. Aucun plan n'est prévu pour prendre en charge Windows 98 avec ce client SVC. Windows 98 est vieux de plus de 7 ans et n'est quasiment plus pris en charge par Microsoft. Seuls Windows 2000 et XP sont pris en charge parce que seuls ces systèmes d'exploitation Windows permettent l'installation d'un pilote réseau sans redémarrage.

Q. Comment puis-je faire en sorte que le client VPN SSL cesse d'essayer de s'installer sur le PC chaque fois que je me connecte au WebVPN ?

A. Cochez l'option KEEP THE CISCO SSL VPN CLIENT sur la station de travail du client VPN SSL. La prochaine fois que vous essayerez d'ouvrir une session avec le client VPN SSL, il consultera le concentrateur VPN pour s'assurer que la version installée est identique à celle du concentrateur VPN et qu'elle est la plus récente.

Sélectionnez Configuration > User Management > Base Group, Group et/ou User (paramètres) et l'onglet WebVPN : Keep Cisco SSL VPN Client .

Q. Comment est-ce que j'installe et je désinstalle silencieusement le client SVC de l'ordinateur client ?

A. Afin de n'installer le SVC sans aucune demande, utilisez le commutateur de /nodlgnoerr de stcie (/? pour obtenir de l'aide). Afin de le désinstaller, utilisez la désinstallation invisible.

Q. Est-ce que le programme d'installation peut être désinstallé par des utilisateurs sans privilèges ?

A. Non, des privilèges d'administrateur sont requis pour installer et désinstaller.

Q. Le pré-installateur STCIE.EXE semble uniquement installer le service « STCAgent ». Peut-il également installer l'adaptateur VPN SSL Cisco Systems LSP ?

A. Le but est d'installer le strict minimum requis pour poursuivre l'installation et garder la taille de téléchargement à un minimum, sans installer le package entier.

Q. Quel est le processus d'installation du SVC, et est-ce que cela peut être groupé avec le SMS de Microsoft ?

A. STCIE est un programme d'installation. Il n'installe pas le gestionnaire. Il installe juste assez de code pour fournir le privilège nécessaire pour compléter l'installation. Dans la discussion ci-dessous, le problème ne peut pas être résolu avec le programme d'installation puisque le téléchargement et l'exécution du fichier provisoire sont bloqués par la stratégie CSA qu'ils exécutent.

En outre, le fichier svcxxx.zip peut être décompressé dans n'importe quel emplacement et cela place STCIE.EXE dans n'importe quel chemin que l'utilisateur choisit. STCIE.EXE n'installe pas le package SVC entier. Il installe seulement assez de composants pour télécharger et installer le SVC entier quand l'utilisateur se connecte au SG la prochaine fois (avec des privilèges d'admin). Le STCIE.EXE est également appelé « programme d'installation ». Le chemin d'installation de SVC est dans le code et n'est pas configurable. Un chemin d'installation configurable n'est pas souhaitable en tant que fonctionnalité SVC. En outre, « C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8 » est un stockage SVC provisoire qui est acquis du système d'exploitation et n'est pas visible pour l'utilisateur. S'il y a un problème au niveau de ce stockage provisoire, cela concerne la configuration du système d'exploitation. Récupéré de « http://vpnpedia/index.php/SSL_VPN_FAQ. »

Q. RADIUS avec la fonctionnalité Expiry et MS IAS sont-ils pris en charge avec le client VPN SSL ?

A. Non Le RAYON avec l'échéance n'est pas pris en charge pour le VPN SSL ; la prise en charge de cette fonctionnalité est uniquement disponible dans l'ASA et aucun plan n'est prévu pour que cette fonctionnalité soit disponible pour les systèmes 3K actuels.

Q. SVC peut-il coexister avec le client Nortel ?

A. Testé avec le client de Nortel de version 4.65 avec le SVC, il fonctionne bien.

Autorisation

Q. J'ai un permis 10-user pour le VPN SSL sur l'ASA. Comment est-ce que j'améliore à un permis d'utilisateur du VPN SSL 100 ?

A. Vous ne pouvez pas directement améliorer à un permis 100-user d'un permis 10-user. Vous devez acheter un VPN SSL 10-25, puis le VPN SSL 25-50, et puis le VPN SSL 50-100. Si vous essayez d'améliorer directement, ceci peut entraver l'utilisation d'autres permis aussi bien. Référez-vous au pour en savoir plus de l'information d'autorisation (clients enregistrés seulement).

Services

Q. Quel type de liste de contrôle d'accès (ACL) le client VPN SSL prend-t-il en charge ?

A. Le client VPN SSL prend en charge les ACL de type IP et non les ACL WebVPN. Vous pouvez filtrer le trafic du client VPN SSL en choisissant Filters sous l'onglet General Group. C'est semblable au logiciel client VPN.

Q. Est-ce que je peux attribuer des adresses IP via un DHCP aux périphériques quand j'utilise le client VPN SSL ?

A. Oui, quand vous utilisez le client VPN SSL vous pouvez obtenir des adresses IP d'un serveur DHCP ou d'un pool d'adresses local créé sur le concentrateur VPN 3000.

Q. Le client VPN SSL fonctionne bien mais ne résout pas les noms DNS, pourquoi ?

A. Si vous avez configuré le client VPN ou le client PPTP pour utiliser le même groupe que celui du client VPN SSL, assurez-vous que vous avez activé IPsec sur le groupe où le client se connecte. Cela résout le problème DNS.

Q. Le contrôle d'ordinateur distant peut-il être fait par le SVC, même si le split tunneling est activé ?

A. Arrêters la connexion RDP par conception. Aucune autre application contrôlée à distance n'a été testée.

Q. Le client VPN SSL (SVC) prend-t-il en charge la fonctionnalité d'expiration de mot de passe ?

A. Non.

Q. La procédure de connexion échoue dans le VPN SSL quand les caractères non ASCII (ä, ü) sont présents dans le nom d'utilisateur ou mot de passe. Que se passe-t-il ?

A. Ce problème est dû à l'ID de bogue Cisco CSCso0455632125 (clients inscrits seulement).

Pour contourner ce problème, évitez les caractères spéciaux (non ASCII) dans le nom d'utilisateur et le mot de passe.

Messages d'erreur

Q. Le client VPN SSL ne se lance pas sur Windows Vista avec Internet Explorer 7, et l'utilisateur obtient l'erreur Installer is downloading Active x....Installer was not able to start SSL VPN client..... Pourquoi ?

A. Cause :

l'erreur apparaît parce que le client VPN SSL (SVC) ne lance pas une connexion.

Ceci se produit en raison d'un problème d'installation/téléchargement d'ActiveX sur Windows Vista avec Microsoft Internet Explorer 7. Windows Vista est livré avec Internet Explorer 7, qui possède un modèle entièrement nouveau pour traiter avec ActiveX. Hormis les différences concernant ActiveX, la pile de réseau a été réinscrite, et la table de routage est différente. Il y a quelques autres défauts qui peuvent également affecter le client.

Résolution :

dorénavant SVC n'est pas compatible ni est pris en charge sur Windows Vista avec le navigateur Internet Explorer 7.

La solution de contournement consiste à utiliser les plates-formes prises en charge, telles que Windows XP, avec Internet Explorer 7.

Remarque:  Le client SVC est pris en charge sur Windows Vista avec le navigateur Internet Explorer 7 dans ASA version 8.x et ultérieures.

Q. Les utilisateurs derrière un proxy de Microsoft n'en reçoivent le « aucun des Protocoles d'authentification offerts par le serveur proxy sont pris en charge. » quand ils se connectent au concentrateur VPN par le client VPN SSL, pourquoi ?

A. Le message d’erreur suivant signifie habituellement que le serveur proxy est configuré pour utiliser un mécanisme d’authentification qui n’est pas pris en charge par le client VPN SSL. À ce jour, le protocole NT LAN Manager (NTLM) et Basic sont les seuls protocoles pris en charge par le client VPN SSL. Utilisez toujours NTLM quand vous utilisez le serveur proxy.

Q. Je reçois le le client de VPN SSL ne pouvais pas modifier la table d'expédition IP. Une connexion de VPN SSL ne sera pas message d'erreur établi, et le VPN ne se connecte pas. Que se passe-t-il ?

A. Cette question est due à l'ID de bogue Cisco CSCeh52036 (clients enregistrés seulement). Référez-vous au pour en savoir plus de bogue.

Q. Comment est-ce que vous résolvez-vous ces erreurs en essayant de modifier une personnalisation objectez pour le VPN SSL dans l'ASDM ? « [Personnalisation name1 disk0:/tmpAsdmImportFile1943056207 » « %ERROR de webvpn d'importation d'ERREURS] : tentative « authentique-page » d'indexer champ (une valeur de zéro) »

A. Ce comportement des erreurs a été observé et classé comme ID de bogue Cisco CSCti42085 (clients enregistrés seulement). Afin de résoudre cette erreur, réparez le DfltCustomization XML et puis relancez.

  1. Exportez le DfltCustomization.

  2. Recherchez la balise de <form-order> et puis pour cette liste :

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[500]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>

    Notez que le secondaire-nom d'utilisateur et le secondaire-mot de passe ont le même identifiant de commande.

  3. Corrigez ceci en changeant l'entrée de secondaire-mot de passe à 600.

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[600]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>
  4. Importez le fichier XML corrigé au-dessus du DfltCustomization existant.

L'ASDM devrait maintenant pouvoir commander à nouveau la commande de champs du formulaire de connexion.

Divers

Q. Un script de connexion Windows peut-il être exécuté une fois connecté via le client VPN SSL ?

A. Ce n'est pas possible via le client VPN SSL parce qu'il n'y a aucun équivalent START BEFORE LOGIN à ce jour.

Q. Est-ce que je peux obtenir la liste des serveurs d'authentification quand j'utilise le client VPN SSL ?

A. Oui, si le premier serveur dans la liste est inaccessible, le serveur suivant dans la liste est contacté.

Q. Comment est-ce que je peux éviter des avertissements de certificat pour le SVC dans le concentrateur ?

A. Distribuez la racine de confiance du concentrateur et importez le certificat de concentrateur d'une racine réputée et de confiance.

Q. La nouvelle clé de SSL est-elle plus légère qu'IPSec ?

A. La nouvelle clé de SSL ne requiert pas de chiffrement RSA ou d'opération CAD. Le secret principal utilisé pour la connexion initiale est combiné avec de nouvelles données aléatoires obtenues du serveur et du client pour générer de nouvelles clés. Notez que dans la nouvelle clé de SSL, toutes les connexions sont chiffrées avec SSL.

Q. Si ActiveX et Javas sont désactivés, je ne peux pas exécuter l'installation de SVC par le navigateur. Dois-je me procurer STCIE.EXE ?

A. Si ActiveX et Javas ne sont pas détectés sur le PC client, l'utilisateur est dirigé vers la page du portail WebVPN, mais seulement si l'option « Require Cisco SSL VPN Client » sous les paramètres WebVPN pour le groupe d'intérêt n'est pas cochée. Si cette option est cochée, la redirection à la page du portail WebVPN n'a pas lieu. Il n'y a aucune option pour télécharger un package d'installation pour le client VPN SSL.

Remarque: Le fichier sslclient-win-1.0.0.x.zip contient un package de préinstallation pour installer le service d'agent SVC (avec des privilèges d'admin) sur un PC client. Cette procédure d'installation est détaillée dans les notes de publication. Une fois installé, il permet le téléchargement et l'installation du package complet du client VPN SSL en mode non-admin avec le mécanisme de téléchargement d'ActiveX/Java, qui doit être activé sur le PC client.

Q. Quels sont les privilèges requis dans IE pour autoriser le fonctionnement d'ActiveX ?

A. Quand un compte d'« invité » est créé sur un PC client, il est important de déterminer avec quel groupe ce compte d'« invité » est associé. Pour cela, cliquez avec le bouton droit de la souris sur My Computer et sélectionnez Manage > Local users and Groups > Users. Choisissez un utilisateur, cliquez deux fois sur celui-ci et déterminez le groupe dont l'utilisateur est membre. La liste inclut des administrateurs, des utilisateurs ayant des privilèges spéciaux et des utilisateurs. Le groupe des utilisateurs ne permet pas le fonctionnement d'ActiveX, tandis que d'autres groupe l'autorisent.

Q. Si je veux que les utilisateurs établissent un tunnel VPN SSL sur « une machine d'entreprise », existe-t-il un moyen pour vérifier la plate-forme avant que le VPN soit établi ou même avant l'authentification ?

A. Oui, utilisez Cisco Secure Desktop avec le certificat de registre, fichier/hachage ou le certificat numérique pour déterminer cela.

Q. Comment la négociation SSLv3/TLSv1 fonctionne-t-elle ?

A. Les stratégies de négociation SSLv3/TLSv1 et d'acceptation de certificat correspondent à la mise en œuvre « standard » de Microsoft. En d'autres termes, SSLv3/TLSv1 utilise le fichier Microsoft SChannel.dll inclus, et le traitement du certificat est effectué via la mise en oeuvre du navigateur « standard » en tant qu'élément du magasin de certificats IE, c.-à-d. que la méthode de négociation SSL et le traitement du certificat ne changent pas par rapport au comportement par défaut de MS.

Q. Quand le battement configurable a-t-il été mis en application dans le SVC et le 3K ?

A. Ces DDTS couvrent les modifications requises dans le client VPN SSL quand vous êtes derrière un serveur proxy Netcache et sont incluses dans la version 1.0.1.116 de SVC publiée le 30 juin 2005. Le SVC CSCsb08657 ne passe pas les données quand il est derrière un périphérique NAT, via les terminaisons intermittentes SVC CSCsb01423 d'un serveur proxy, ou quand il est derrière un serveur proxy Netcache CSCsa97704. Un battement configurable est nécessaire pour maintenir une connexion de proxy ouverte. Les modifications correspondantes requises pour le réseau VPN3000 ont été incluses dans la version 4.7.2 du 21 juin 2005. Si la version 4.7.2 (ou une version ultérieure) est utilisée, il est nécessaire de mettre à niveau le SVC à la version 1.0.1.116 ou à une version ultérieure. CSCei01721 - un battement configurable est nécessaire pour conserver la connexion proxy du SVC.

Q. Quand la prise en charge automatique du proxy va-t-elle été ajouté au SVC ?

A. Elle a été ajoutée en tant qu'élément du DDTS CSCsd05126 dans la version 1.1.0.x.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 67909