セキュリティ : Cisco IOS SSL VPN

SSL VPN Client に関する FAQ

2014 年 9 月 20 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 11 月 5 日) | 英語版 (2014 年 9 月 15 日) | フィードバック


質問


概要

このドキュメントでは、SSL VPN Client(SVC)に関して最もよくある質問(FAQ)について説明しています。 Microsoft Windows XP や Windows 2000 を稼働させているエンド ユーザでは、Cisco SVC により、IPsec Client のインストールや設定の手間をかけずに Cisco IPsec VPN Client の利点を享受できます。 Cisco SVC では、標準の WebVPN 接続では利用できないアプリケーションや機能もサポートされます。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

製品サポート

Q. SSL VPN Client は、Cisco ASA 5500 適応型セキュリティ アプライアンスでサポートされていますか。

A. SSL VPN Client は、Cisco ASA 5500 適応型セキュリティ アプライアンスのソフトウェア バージョン 7.1 でサポートされています。

Q. SSL VPN Client は、IOS ルータまたは Cisco 6500/7600 でサポートされていますか。

A. SSL VPN クライアントは Cisco 870 で、1800、2800、Cisco IOS ソフトウェア リリース 12.4(6)T の拡張セキュリティ イメージを実行する 3700、3800、7200 人、および 7301 人のルータ サポートされます。 IOS WebVPN に関する詳細については、Cisco IOS WebVPN リソースを参照して下さい。 Cisco WebVPN サービス モジュールは、Cisco 6500/7600 上で SSL VPN Client をサポートしています。

Q. Cisco SSL VPN Client をサポートするには、Cisco VPN 3000 Concentrator でどのソフトウェア リリースが必要ですか。

A. SSL VPN Client ソフトウェア リリース 1.0.1 以降をサポートするには、Cisco VPN 3000 Concentrator でソフトウェア リリース 4.7 以降が稼働している必要があります。

注: Cisco SSL VPN Client リリース 1.0.2 の場合、Cisco VPN 3000 Concentrator でソフトウェア リリース 4.7.2 以降が稼働している必要があります。 Cisco SSL VPN Client リリース 1.0.2 は、4.7.2. より前のソフトウェア リリースが稼働している VPN 3000 Concentrator では動作しません。

VPN 3000 Concentrators をソフトウェア リリース 4.7.2 にアップグレードする場合は、『Cisco VPN 3000 シリーズ Concentrators リリース 4.7.2 のリリース ノート』の「リリース 4.7.2 へのアップグレード」セクションを参照してください。.

Q. 2ファクタ認証は SSL VPN クライアントでサポートされますか。

A. SSL VPN クライアントは ASA バージョン 8.2(x) および それ 以降の 2ファクタ認証をサポートします。 それはバージョンでより 8.2.(x) 先にサポートされません。

インストール

Q. Cisco VPN 3000 Concentrator に Cisco SSL VPN Client をインストールする方法を教えてください。

A. 次のステップで Cisco VPN 3000 Concentrator に Cisco SSL VPN Client をインストールします。

注: ダウンロードを開始する前に、デスクトップから Cisco VPN 3000 コンセントレータ にアクセスできることを確認してください。

  1. SSL Client ファイル sslclient-win*.pkg をデスクトップにダウンロードします。 VPN 3000 コンセントレータがソフトウェア リリース 4.7.2 を実行しない場合ステップ 2 に進んで下さい。 VPN 3000 コンセントレータがソフトウェア リリース 4.7.2 を実行する場合ステップ 3 に直接進んで下さい。
  2. ソフトウェア リリース 4.7.2 に VPN 3000 コンセントレータをアップグレードして下さい。 Cisco VPN 3000 シリーズコンセントレータ リリース4.7.2 に関するリリース ノートリリース4.7.2へのアップグレード セクションを参照して下さい。
  3. VPN Concentrator で、Configuration > Tunneling and Security > WebVPN > Cisco SSL VPN Client の順に選択し、Install a new SVC をクリックします。
  4. [Browse] をクリックし、SSL VPN Client ソフトウェアをダウンロードしたディレクトリに移動します。
  5. [Apply] をクリックし、VPN 3000 Concentrator に SSL VPN Client をダウンロードします。

    注: Cisco VPN 3000 Concentrator リリース 4.7 では、SSL VPN Client がロード済みです。

Q. SVC と CSD は中国語版の Windows 2000 と XP をサポートしていますか。

A. いいえ。

Q. SVC は MSJVM とともに使用できますか。

A. はい、Microsoft がこの過去を 2007 年 12月 31 日サポートしないことがメモ。 実際、これはマイクロソフト社Webサイトからもはやダウンロードすることができません; それは代替(Sun JVM) Java クライアントに指示します。

Q. SVC クライアントは Windows 98 をサポートしていますか。

A. SVC で Windows 98 がサポートされる予定はありません。Windows 98 は 7 歳にあり、EOS ポイントに Microsoft によってほとんどあります。 Windows 2000 と XP では、ネットワーク ドライバのインストール後に再起動する必要がないので、これらの Windows オペレーティング システムのみがサポートされています。

Q. WebVPN に接続するたびに、PC への SSL VPN Client のインストールが試行されます。この動作の停止方法を教えてください。

A. SSL VPN Client ワークステーションで、KEEP THE CISCO SSL VPN CLIENT オプションにチェックマークを付けます。 次に SSL VPN Client を使用してログインする際に、VPN Concentrator との確認が行われ、インストールされているバージョンが VPN Concentrator のバージョンと同じであり、さらに最新のバージョンであることが確認されます。

、グループやユーザ パラメータおよび WebVPN タブ Configuration > User Management > Base Group の順に選択 して下さい: これを達成するために Cisco SSL VPN Client を保存して下さい

Q. SVC をサイレント インストールする方法と、SVC をクライアント システムからアンインストールする方法を教えてください。

A. なしで SVC をインストールすることは stcie /nodlgnoerr スイッチをプロンプト表示しましたり、使用します(/か。 ヘルプのため)。 アンインストールするには、uninstall invisible を使用します。

Q. 非特権ユーザがインストール イネーブラをアンインストールすることはできますか。

A. いいえ、インストールとアンインストールには管理者権限が必要です。

Q. プリインストーラ STCIE.EXE は「STCAgent」サービスだけをインストールするように見えますが、 LSP「Cisco Systems SSL VPN Adapter」もインストールできますか。

A. このファイルの目的は、インストールを続行してファイル ダウンロードのサイズを最小限に抑えるために必要最小限のものをインストールすることであり、パッケージ全体をインストールすることではありません。

Q. SVC のインストール プロセスはどのようなものですか、また Microsoft の SMS とパッケージ化することはできますか。

A. STCIE はインストール イネーブラです。 ドライバのインストールは行われません。 STCIE では、インストールを完了するのに必要な権限を高めるためのコードだけがインストールされます。 ここでの議論では、適用された CSA ポリシーによって一時ファイルのダウンロードと実行がブロックされることが問題になるので、インストール イネーブラではこの問題を解決できません。

また、svcxxx.zip はどのパスでも解凍でき、STCIE.EXE はユーザが選択したどのパスにも配置できます。 STCIE.EXE を実行しても、SVC パッケージ全体がインストールされるわけではありません。 インストールされるのは、ユーザが次回、管理者権限で SG に接続した際に、SVC 全体をダウンロードしてインストールするのに必要となるコンポーネントだけです。 STCIE.EXE は「インストレーション イネーブラ」とも呼ばれます。 SVC のインストール パスはコード内に記述されているので変更できません。 インストール パスを変更可能にすることは SVC の機能としては好ましくないと考えられます。 また、「C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8」は、OS から得られる SVC の一時ストアであり、ユーザに対しては表示されません。 この一時ストアに問題がある場合は、OS の設定に問題があるということです。 「http://vpnpedia/index.php/SSL_VPN_FAQ から取得される」。

Q. RADIUS with Expiry と MS IAS は SSL VPN Client でサポートされますか。

A. いいえ終止の RADIUS は SSL VPN のためにサポートされません; この機能のためのサポートは ASA だけで利用でき、現在の 3K システムのために利用可能があるこの機能のための計画がありません。

Q. SVC は Nortel Client と共存できますか。

A. Nortel Client バージョン 4.65 と SVC の共存テストでは、特に問題はありませんでした。

ライセンス

Q. ASA の SSL VPN のための 10 ユーザ ライセンスがあります。 どのように 100 SSL VPN にユーザライセンスをアップグレードしますか。

A. 10 ユーザ ライセンスから 100-user に直接ライセンスをアップグレードできません。 次におよび 50-100 SSL VPN 10-25 SSL VPN を、そして 25-50 SSL VPN 購入する、必要があります。 直接アップグレードすることを試みる場合これは他のライセンスの使用方法を同様に妨げる可能性があります。 ライセンス情報詳細については(登録ユーザのみ)を参照して下さい。

サービス

Q. SSL VPN Client では、どのような種類の Access Control List(ACL; アクセス コントロール リスト)がサポートされていますか。

A. SSL VPN Client は、IP タイプの ACL をサポートしていますが、WebVPN ACL はサポートしていません。 General Group タブで Filters を選択すると、SSL VPN Client トラフィックをフィルタリングできます。 これは VPN Client ソフトウェアと同様です。

Q. SSL VPN Client を使用する際、デバイスに DHCP で IP アドレスを割り当てることはできますか。

A. できます。SSL VPN Client を使用する際、DHCP サーバからの IP アドレスまたは VPN 3000 Concentrator 上に作成されたローカル アドレス プールからの IP アドレスを取得できます。

Q. SSL VPN Client は問題なく動作しますが、DNS 名が解決されません。なぜですか。

A. VPN Client または PPTP クライアントで使用するグループを SSL VPN Client と同じグループに設定した場合、必ず、クライアントが接続するグループの IPSec を有効にしてください。 これにより DNS の問題は解決します。

Q. スプリット トンネリングが有効になっている場合でも、SVC を介してリモート マシンを制御することはできますか。

A. RDP は接続を廃棄する設計になっています。 その他のリモート制御アプリケーションはテストされていません。

Q. SSL VPN Client(SVC)はパスワードの期限切れ機能をサポートしていますか。

A. いいえ。

Q. ログインは SSL VPN に ASCII文字以外文字(ä、ü)がユーザ名かパスワードに時失敗します。 なぜ、このような現象が発生するのでしょうか。

A. この問題は Cisco バグ ID CSCso04556登録ユーザのみ)が原因です。

回避策はこの問題、ユーザ名 および パスワードの特別な(ASCII文字以外)文字を避けます。

エラー メッセージ

Q. SSL VPN クライアントは Internet Explorer 7 との Windows Vista で起動しませんおよびユーザは得ますインストーラをダウンロードしていますアクティブ X を….インストーラはできませんでした SSL VPN クライアントを開始…. エラーメッセージ、なぜか。

A. 原因

SSL VPN Client(SVC)が接続の開始に失敗するためエラーが表示されます。

これは、Windows Vista に搭載された Microsoft Internet Explorer 7 における ActiveX のインストールとダウンロードの問題によって発生します。Windows Vista には、ActiveX の処理が従来とは異なる、新しいモデルの Internet Explorer 7 が搭載されています。 また、ActiveX の相違点に加え、ネットワーキング スタックが書き換えられており、ルーティング テーブルが異なっています。 その他にもいくつか、クライアントに影響を及ぼす相違点があります。

解決策

現在のところ、SVC は、Windows Vista の Internet Explorer 7 ブラウザとの互換性はなく、サポートされていません。

回避策は、Windows XP の Internet Explorer 7 など、サポートされているプラットフォームを使用することです。

注:  SVC は ASA バージョン 8.x および それ 以降の Internet Explorer 7 ブラウザの Windows Vista でサポートされます

Q. Microsoft プロキシの後ろのユーザは受け取りません「プロキシサーバによって提示される認証プロトコルのどれもサポートされます」。 彼らが SSL VPN クライアントによって VPN コンセントレータに接続する場合のエラー、なぜか。

A. 通常、このエラー メッセージは、SSL VPN Client でサポートされていない認証メカニズムを使用するようにプロキシ サーバが設定されていることを意味しています。 現時点で、SSL VPN Client でサポートされているプロトコルは、NT LAN Manager(NTLM)と Basic だけです。 プロキシ サーバを使用するときには、常に NTLM を使用してください。

Q. SSL VPN クライアントをできませんでした IP転送 表を修正することが受け取ります。 SSL VPN 接続は確立されたエラーメッセージではないし、VPN は接続しません。 なぜ、このような現象が発生するのでしょうか。

A. この問題は Cisco バグ ID CSCeh52036登録ユーザのみ)が原因です。 詳細については不具合を参照して下さい。

Q. カスタマイゼーションを修正することを試みた場合 ASDM の SSL VPN のためにこれらのエラーを反対します解決する方法 「[エラー]インポート webvpn カスタマイゼーション name1 disk0:/tmpAsdmImportFile1943056207」「%ERROR: インデックス・ フィールドへの試み「auth ページ」(無値)」

A. このエラー 動作は Cisco バグ ID CSCti42085登録ユーザのみ)として観察され、ファイルされました。 このエラーを解決するために、DfltCustomization XML を固定し、次に再試行して下さい。

  1. DfltCustomization をエクスポートして下さい。

  2. 次にこのリストのための <form-order> タグを探せば:

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[500]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>

    セカンダリ ユーザー名におよびセカンダリ パスワードに同じ順序識別子があることに注意して下さい。

  3. 600 へセカンダリ パスワード エントリを変更することによってこれを訂正して下さい。

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[600]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>
  4. 既存の DfltCustomization 上の訂正された XML ファイルをインポートして下さい。

ASDM はログオン フォーム フィールド順序を追加注文今できるはずです。

その他

Q. SSL VPN Client 経由で接続した際に、Windows ログイン スクリプトが実行されるようにすることは可能ですか。

A. 現在のところ、START BEFORE LOGIN 同等の機能がないため、SSL VPN Client 経由では不可能です。

Q. SSL VPN Client を使用するときに、認証サーバのリストを使用できますか。

A. はい。リスト上の最初のサーバが到達不能の場合は、リスト上の次のサーバとの間で通信が行われます。

Q. コンセントレータで SVC の証明書警告を回避するにはどうすればよいですか。

A. コンセントレータの信頼できるルートを配布して、信頼できる既知のルートからコンセントレータ証明書をインポートします。

Q. SSL 鍵再生成は IPSec よりも軽いですか。

A. SSL 鍵再生成では、RSA 暗号化や DH 処理は必要とされません。 最初のハンドシェイクで使用されたマスター秘密鍵が、サーバとクライアントからの新しいランダムなデータと組み合わされて新しい鍵が生成されます。 SSL 鍵再生成では、すべてのハンドシェイクが SSL によって暗号化されることに注意してください。

Q. ActiveX と Java が無効になっている場合、ブラウザ経由で SVC のインストールを実行できません。 STCIE.EXE を取得する必要がありますか。

A. ActiveX と Java の両方がクライアント PC で検出されない場合は、ユーザは WebVPN のポータル ページに案内されます。ただしこれは、該当するグループの WebVPN パラメータの下の Require Cisco SSL VPN Client オプションにチェックマークが付いていない場合のみです。 このオプションにチェックマークがついている場合は、WebVPN のポータル ページへ案内されることはありません。 SSL VPN Client のインストール パッケージをダウンロードするためのオプションはありません。

注: クライアント PC に(管理者権限を使用する)SVC Agent サービスをインストールするためのプリインストール パッケージを含んだ sslclient-win-1.0.0.x.zip ファイルがあります。 このファイルのインストール手順は、リリース ノートで説明されています。 これを一度インストールすると、ActiveX および Java のダウンロード メカニズムを使用して(これらをクライアント PC 上で有効にする必要はありません)、非管理者モードでも、SSL VPN Client パッケージ全体のダウンロードとインストールが可能になります。

Q. IE で ActiveX を機能させるのに必要な権限は何ですか。

A. クライアント PC で「Guest」アカウントを作成する際には、その「Guest」アカウントをどのグループに関連付けるかを決定することが重要です。 このためには、My Computer を右クリックし、Manage > Local users and Groups > Users の順に選択します。 ユーザを選択してダブルクリックし、そのユーザがメンバーとなるグループを決定します。 このリストには、Administrators、Power Users、および Users があります。 Users グループでは ActiveX を機能させることはできませんが、他のグループでは可能です。

Q. ユーザが「会社のマシン」で SSL VPN トンネルを確立できるようにする場合、VPN が確立される前や、認証が実行される前に、プラットフォームを確認するためにできることはありますか。

A. はい。Cisco Secure Desktop でレジストリ、ファイル/ハッシュ、またはデジタル証明書を使用してこの確認を行ってください。

Q. SSLv3/TLSv1 ネゴシエーションはどのように動作しますか。

A. SSLv3/TLSv1 ネゴシエーションと証明書受け入れポリシーは Microsoft 製品に標準で実装されています。 SSLv3/TLSv1 では、ビルトインの Microsoft SChannel.dll ファイルが使用され、証明書の処理は IE 証明書ストアの一部としてブラウザに標準的に実装されています。つまり、SSL ネゴシエーションと証明書処理の方式は MS デフォルトの動作と変わりません。

Q. SVC と 3K の両方に、設定可能なハートビートが実装されたのはいつですか。

A. これらの DDTS は Netcache プロキシサーバの後ろで操作し、2005 年 6月 30 日リリースされる SVC リリース 1.0.1.116 で設定されるとき SSL VPN クライアントで必要とされる変更をカバーします。 プロキシサーバ CSCsb01423 SVC 断続的な終了によって NAT デバイスの後ろに、あるか、または Netcache プロキシサーバ CSCsa97704 の後ろで時 CSCsb08657 SVC はデータを渡しません。 設定可能なハートビートは、プロキシ接続を常に開いておくのに必要となります。 ヘッドエンド VPN3000 に必要な対応した変更が 4.7.2 リリースの一部として 2005 年 6月 21 日リリースされました。 4.7.2 リリース(またはそれ以降)が使用される場合、1.0.1.116 またはそれ以降に SVC のバージョンをアップグレードすることは必要です。 CSCei01721:設定可能なハートビートは、SVC プロキシ接続を常に開いておくのに必要となります。

Q. SVC に自動プロキシのサポートが追加されたのはいつですか。

A. この機能は 1.1.0.x リリースの DDTS CSCsd05126 の一部として追加されました。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 67909