セキュリティ : Cisco IOS SSL VPN

SSL VPN Client に関する FAQ

2008 年 11 月 5 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 7 月 22 日) | フィードバック

目次

概要
製品サポート
インストール
サービス
エラー メッセージ
その他
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、SSL VPN Client(SVC)に関して最もよくある質問(FAQ)について説明しています。Microsoft Windows XP や Windows 2000 を稼働させているエンド ユーザでは、Cisco SVC により、IPsec Client のインストールや設定の手間をかけずに Cisco IPsec VPN Client の利点を享受できます。Cisco SVC では、標準の WebVPN 接続では利用できないアプリケーションや機能もサポートされます。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

製品サポート

Q. SSL VPN Client は、Cisco ASA 5500 適応型セキュリティ アプライアンスでサポートされていますか。

A.SSL VPN Client は、Cisco ASA 5500 適応型セキュリティ アプライアンスのソフトウェア バージョン 7.1 でサポートされています。

Q. SSL VPN Client は、IOS ルータまたは Cisco 6500/7600 でサポートされていますか。

A. SSL VPN Client は、Cisco IOS ソフトウェア リリース 12.4(6)T のアドバンスト セキュリティ イメージが稼働する Cisco 870、1800、2800、3700、3800、7200、および 7301 ルータでサポートされます。IOS WebVPN についての詳細は、Cisco IOS WebVPN のリソースを参照してください。Cisco WebVPN サービス モジュールは、Cisco 6500/7600 上で SSL VPN Client をサポートしています。

Q. Cisco SSL VPN Client をサポートするには、Cisco VPN 3000 Concentrator でどのソフトウェア リリースが必要ですか。

A. SSL VPN Client ソフトウェア リリース 1.0.1 以降をサポートするには、Cisco VPN 3000 Concentrator でソフトウェア リリース 4.7 以降が稼働している必要があります。

注:Cisco SSL VPN Client リリース 1.0.2 の場合、Cisco VPN 3000 Concentrator でソフトウェア リリース 4.7.2 以降が稼働している必要があります。Cisco SSL VPN Client リリース 1.0.2 は、4.7.2. より前のソフトウェア リリースが稼働している VPN 3000 Concentrator では動作しません。

VPN 3000 Concentrators をソフトウェア リリース 4.7.2 にアップグレードする場合は、『Cisco VPN 3000 シリーズ Concentrators リリース 4.7.2 のリリース ノート』の「リリース 4.7.2 へのアップグレード」セクションを参照してください。.

インストール

Q. Cisco VPN 3000 Concentrator に Cisco SSL VPN Client をインストールする方法を教えてください。

A. 次のステップで Cisco VPN 3000 Concentrator に Cisco SSL VPN Client をインストールします。

注:ダウンロードを開始する前に、デスクトップから Cisco VPN 3000 Concentrator にアクセスできることを確認してください。

  1. SSL Client ファイル sslclient-win*.pkg をデスクトップにダウンロードします。VPN 3000 Concentrator でソフトウェア リリース 4.7.2. が稼働していない場合は、ステップ 2 に進みます。VPN 3000 Concentrator でソフトウェア リリース 4.7.2 が稼働している場合は、直接、ステップ 3 に進みます。
  2. VPN 3000 Concentrator をソフトウェア リリース 4.7.2 にアップグレードします。『Cisco VPN 3000 シリーズ Concentrator リリース 4.7.2 のリリース ノート』の「リリース 4.7.2 へのアップグレード」を参照してください。
  3. VPN Concentrator で、Configuration > Tunneling and Security > WebVPN > Cisco SSL VPN Client の順に選択し、Install a new SVC をクリックします。
  4. Browse をクリックし、SSL VPN Client ソフトウェアをダウンロードしたディレクトリに移動します。
  5. Apply をクリックし、VPN 3000 Concentrator に SSL VPN Client をダウンロードします。

    注:Cisco VPN 3000 Concentrator リリース 4.7 では、SSL VPN Client がロード済みです。

Q. SVC と CSD は中国語版の Windows 2000 と XP をサポートしていますか。

A. いいえ。

Q. SVC は MSJVM とともに使用できますか。

A. 使用できます。ただし、これは 2007 年 12 月 31 日以降、Microsoft ではサポートされなくなっています。現在は Microsoft の Web サイトからはダウンロードできなくなり、代わりの Java クライアント(Sun JVM)が提示されます。

Q. SVC クライアントは Windows 98 をサポートしていますか。

A. SVC で Windows 98 がサポートされる予定はありません。Windows 98 は 7 年以上も前の製品であり、Microsoft ではほぼ販売終了となっています。Windows 2000 と XP では、ネットワーク ドライバのインストール後に再起動する必要がないので、これらの Windows オペレーティング システムのみがサポートされています。

Q. WebVPN に接続するたびに、PC への SSL VPN Client のインストールが試行されます。この動作の停止方法を教えてください。

A. SSL VPN Client ワークステーションで、KEEP THE CISCO SSL VPN CLIENT オプションにチェックマークを付けます。次に SSL VPN Client を使用してログインする際に、VPN Concentrator との確認が行われ、インストールされているバージョンが VPN Concentrator のバージョンと同じであり、さらに最新のバージョンであることが確認されます。

これを実行するには、Configuration > User Management > Base Group, Group and/or User parameters の順に選択し、WebVPN Tab: Keep Cisco SSL VPN Client> を選択します。

Q. SVC をサイレント インストールする方法と、SVC をクライアント システムからアンインストールする方法を教えてください。

A. プロンプトを表示せずに SVC をインストールするには、stcie/nodlgnoerr スイッチを使用します(/? でヘルプが表示されます)。アンインストールするには、uninstall invisible を使用します。

Q. 非特権ユーザがインストール イネーブラをアンインストールすることはできますか。

A. いいえ、インストールとアンインストールには管理者権限が必要です。

Q. プリインストーラ STCIE.EXE は「STCAgent」サービスだけをインストールするように見えますが、LSP「Cisco Systems SSL VPN Adapter」もインストールできますか。

A. このファイルの目的は、インストールを続行してファイル ダウンロードのサイズを最小限に抑えるために必要最小限のものをインストールすることであり、パッケージ全体をインストールすることではありません。

Q. SVC のインストール プロセスはどのようなものですか、また Microsoft の SMS とパッケージ化することはできますか。

A. STCIE はインストール イネーブラです。ドライバのインストールは行われません。STCIE では、インストールを完了するのに必要な権限を高めるためのコードだけがインストールされます。ここでの議論では、適用された CSA ポリシーによって一時ファイルのダウンロードと実行がブロックされることが問題になるので、インストール イネーブラではこの問題を解決できません。

また、svcxxx.zip はどのパスでも解凍でき、STCIE.EXE はユーザが選択したどのパスにも配置できます。STCIE.EXE を実行しても、SVC パッケージ全体がインストールされるわけではありません。インストールされるのは、ユーザが次回、管理者権限で SG に接続した際に、SVC 全体をダウンロードしてインストールするのに必要となるコンポーネントだけです。STCIE.EXE は「インストレーション イネーブラ」とも呼ばれます。SVC のインストール パスはコード内に記述されているので変更できません。インストール パスを変更可能にすることは SVC の機能としては好ましくないと考えられます。また、「C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8」は、OS から得られる SVC の一時ストアであり、ユーザに対しては表示されません。この一時ストアに問題がある場合は、OS の設定に問題があるということです。

Q. RADIUS with Expiry と MS IAS は SSL VPN Client でサポートされますか。

A. いいえ。RADIUS with Expiry は SSL VPN ではサポートされません。この機能は ASA でのみサポートされています。また、現行の 3K システムでこの機能を使用可能にする予定はありません。

Q. SVC は Nortel Client と共存できますか。

A. Nortel Client バージョン 4.65 と SVC の共存テストでは、特に問題はありませんでした。

サービス

Q. SSL VPN Client では、どのような種類の Access Control List(ACL; アクセス コントロール リスト)がサポートされていますか。

A. SSL VPN Client は、IP タイプの ACL をサポートしていますが、WebVPN ACL はサポートしていません。General Group タブで Filters を選択すると、SSL VPN Client トラフィックをフィルタリングできます。これは VPN Client ソフトウェアと同様です。

Q. SSL VPN Client を使用する際、デバイスに DHCP で IP アドレスを割り当てることはできますか。

A. できます。SSL VPN Client を使用する際、DHCP サーバからの IP アドレスまたは VPN 3000 Concentrator 上に作成されたローカル アドレス プールからの IP アドレスを取得できます。

Q. SSL VPN Client は問題なく動作しますが、DNS 名が解決されません。なぜですか。

A. VPN Client または PPTP クライアントで使用するグループを SSL VPN Client と同じグループに設定した場合、必ず、クライアントが接続するグループの IPSec を有効にしてください。これにより DNS の問題は解決します。

Q. スプリット トンネリングが有効になっている場合でも、SVC を介してリモート マシンを制御することはできますか。

A. RDP は接続を廃棄する設計になっています。その他のリモート制御アプリケーションはテストされていません。

Q. SSL VPN Client(SVC)はパスワードの期限切れ機能をサポートしていますか。

A. いいえ。

エラー メッセージ

Q. Windows Vista の Internet Explorer 7 で SSL VPN Client の起動に失敗し、「Installer is downloading Active x....Installer was not able to start SSL VPN client....」というエラー メッセージが表示されました。なぜでしょう。

A. 原因

このエラーが発生するのは、SSL VPN Client(SVC)が接続開始に失敗するためでます。

これは、Windows Vista に搭載された Microsoft Internet Explorer 7 における ActiveX のインストールとダウンロードの問題によって発生します。Windows Vista には、ActiveX の処理が従来とは異なる、新しいモデルの Internet Explorer 7 が搭載されています。また、ActiveX の相違点に加え、ネットワーキング スタックが書き換えられており、ルーティング テーブルが異なっています。その他にもいくつか、クライアントに影響を及ぼす相違点があります。

解決策

現在のところ、SVC は、Windows Vista の Internet Explorer 7 ブラウザとの互換性はなく、サポートされていません。

回避策は、Windows XP の Internet Explorer 7 など、サポートされているプラットフォームを使用することです。

Q. Microsoft Proxy の背後のユーザが SSL VPN Client 経由で VPN Concentrator に接続しようとすると、「None of the authentication protocols offered by the proxy server are supported」というエラーが発生します。なぜですか。

A. 通常、このエラー メッセージは、SSL VPN Client でサポートされていない認証メカニズムを使用するようにプロキシ サーバが設定されていることを意味しています。現時点で、SSL VPN Client でサポートされているプロトコルは、NT LAN Manager(NTLM)と Basic だけです。プロキシ サーバを使用するときには、常に NTLM を使用してください。

その他

Q. SSL VPN Client 経由で接続した際に、Windows ログイン スクリプトが実行されるようにすることは可能ですか。

A. 現在のところ、START BEFORE LOGIN 同等の機能がないため、SSL VPN Client 経由では不可能です。

Q. SSL VPN Client を使用するときに、認証サーバのリストを使用できますか。

A. はい。リスト上の最初のサーバが到達不能の場合は、リスト上の次のサーバとの間で通信が行われます。

Q. コンセントレータで SVC の証明書警告を回避するにはどうすればよいですか。

A. コンセントレータの信頼できるルートを配布して、信頼できる既知のルートからコンセントレータ証明書をインポートします。

Q. SSL 鍵再生成は IPSec よりも軽いですか。

A. SSL 鍵再生成では、RSA 暗号化や DH 処理は必要とされません。最初のハンドシェイクで使用されたマスター秘密鍵が、サーバとクライアントからの新しいランダムなデータと組み合わされて新しい鍵が生成されます。SSL 鍵再生成では、すべてのハンドシェイクが SSL によって暗号化されることに注意してください。

Q. ActiveX と Java が無効になっている場合、ブラウザ経由で SVC のインストールを実行できません。STCIE.EXE を取得する必要がありますか。

A. ActiveX と Java の両方がクライアント PC で検出されない場合は、ユーザは WebVPN のポータル ページに案内されます。ただしこれは、該当するグループの WebVPN パラメータの下の Require Cisco SSL VPN Client オプションにチェックマークが付いていない場合のみです。このオプションにチェックマークがついている場合は、WebVPN のポータル ページへ案内されることはありません。SSL VPN Client のインストール パッケージをダウンロードするためのオプションはありません。

注:クライアント PC に(管理者権限を使用する)SVC Agent サービスをインストールするためのプリインストール パッケージを含んだ sslclient-win-1.0.0.x.zip ファイルがあります。このファイルのインストール手順は、リリース ノートで説明されています。これを一度インストールすると、ActiveX および Java のダウンロード メカニズムを使用して(これらをクライアント PC 上で有効にする必要はありません)、非管理者モードでも、SSL VPN Client パッケージ全体のダウンロードとインストールが可能になります。

Q. IE で ActiveX を機能させるのに必要な権限は何ですか。

A. クライアント PC で「Guest」アカウントを作成する際には、その「Guest」アカウントをどのグループに関連付けるかを決定することが重要です。このためには、My Computer を右クリックし、Manage > Local users and Groups > Users の順に選択します。ユーザを選択してダブルクリックし、そのユーザがメンバーとなるグループを決定します。このリストには、Administrators、Power Users、および Users があります。Users グループでは ActiveX を機能させることはできませんが、他のグループでは可能です。

Q. ユーザが「会社のマシン」で SSL VPN トンネルを確立できるようにする場合、VPN が確立される前や、認証が実行される前に、プラットフォームを確認するためにできることはありますか。

A. はい。Cisco Secure Desktop でレジストリ、ファイル/ハッシュ、またはデジタル証明書を使用してこの確認を行ってください。

Q. SSLv3/TLSv1 ネゴシエーションはどのように動作しますか。

A. SSLv3/TLSv1 ネゴシエーションと証明書受け入れポリシーは Microsoft 製品に標準で実装されています。SSLv3/TLSv1 では、ビルトインの Microsoft SChannel.dll ファイルが使用され、証明書の処理は IE 証明書ストアの一部としてブラウザに標準的に実装されています。つまり、SSL ネゴシエーションと証明書処理の方式は MS デフォルトの動作と変わりません。

Q. SVC と 3K の両方に、設定可能なハートビートが実装されたのはいつですか。

A. これらの DDTS は、Netcache Proxy Server の背後で作業する場合に SSL VPN Client で必要となる変更に対応し、2005 年 6 月 30 日にリリースされた SVC リリース 1.0.1.116 で実装されています。CSCsb08657 SVC は、NAT デバイスの背後にあり、Proxy Server CSCsb01423 SVC Intermittent Termination を通過する場合、または Netcache Proxy Server CSCsa97704 の背後にある場合に、データを渡すことができません。設定可能なハートビートは、プロキシ接続を常に開いておくのに必要となります。これに関連する、ヘッドエンド VPN3000 で必要な変更は、4.7.2. リリースの一部として、2005 年 6 月 21 日にリリースされました。4.7.2. リリース(またはそれ以降)を使用している場合は、SVC を 1.0.1.116 以降のバージョンにアップグレードする必要があります。CSCei01721:設定可能なハートビートは、SVC プロキシ接続を常に開いておくのに必要となります。

Q. SVC に自動プロキシのサポートが追加されたのはいつですか。

A. この機能は 1.1.0.x リリースの DDTS CSCsd05126 の一部として追加されました。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 67909