セキュリティ : Cisco AnyConnect セキュア モビリティ クライアント

Mac OS X 向け VPN クライアントに関する FAQ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

関連するシスコ サポート コミュニティ ディスカッション

概要

このドキュメントでは Mac OS X で利用できるシスコの VPN クライアント ソリューションに関する FAQ について説明しています。

ヒント: Cisco は Secure Sockets Layer (SSL)、また IPsec 両方のための AnyConnect VPN クライアントに移行することを推奨します。 Mac OS の組み込み IPSecクライアントは Apple 製品です、従って Cisco リモートアクセスVPNクライアントが EOS の間、クライアント側の質問/アップグレード/バグ修正および他の問題は Apple によって当たる必要があります。 したがって、このクライアントの修正はありません。

著者:Cisco TAC エンジニア。

一般的な質問

Q. Mac ユーザにリモート アクセスを提供するには、どのようなオプションがありますか。

A.

Mac OS のバージョンによって、実行できる VPN クライアント ソリューションは 3 つあります。

VPN クライアント
テクノロジー/プロトコル

Mac OS X 10.5
Leopard

Mac OS X 10.6
Snow Leopard

Mac OS X 10.7
Lion

Mac OS X 10.8
Mountain Lion

Mac OS X 10.9
異端者

Mac OS X 10.10
ヨセミテ
Mac OS X 10.11
El Capitan 
Mac 組み込み VPN クライアントIPSEC XXX X X X
Cisco リモート アクセス IPsec クライアントIPSECXX     
Cisco AnyConnect セキュア モビリティ クライアントSSL、IKEv2/IPsec○*X○**○*** X ****

*Mac OS X 10.5(Leopard)は、AnyConnect リリース 3.1 ではサポートされていません。 また、PowerPC のサポートはリリース 3.0 以降は中止されています。
**Mac OS X 10.7(Lion)は、AnyConnect リリース 2.5.3051 と 3.0.3054 以降でサポートされています。
***Mac OS X 10.8(Mountain Lion)は、AnyConnect リリース 3.0.08057 と 3.1 以降でサポートされています。
**** MAC OS X 10.11 (El Capitan)は Anyconnect 4.1.04011 およびそれ以降でサポートされます。 El Capitan サポートは 2015 年 7 月以内に終了した新しい OS サポートとして AnyConnect 3.x で提供されません。 Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.x のための終りの販売およびサポート終了(EOL)速報を参照して下さい。

Q. Mac OS X で Cisco VPN Client をアンインストールするにはどうすればよいですか。

A.

Cisco VPN Client をアンインストールするには、次の手順を実行します。

  1. 古い Cisco VPN カーネル 拡張をきれいにし、システムをリブートするためにこれらのコマンドを入力して下さい。
    sudo -s
    rm -rf /System/Library/StartupItems/CiscoVPN
    rm -rf /Library/StartupItems/CiscoVPN
    rm -rf /System/Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Extensions/CiscoVPN.kext
    rm -rf /Library/Receipts/vpnclient-kext.pkg
    rm -rf /Library/Receipts/vpnclient-startup.pkg
    reboot
  2. Mac バージョン 4.9.01.0180 パッケージのための Cisco VPN をインストールした場合、置き違えられたファイルを削除するためにこれらのコマンドを入力して下さい。 これらのファイルを削除しても、アプリケーションが誤って配置されたファイルをその配置で使用することはないため、システムには影響しません。
    sudo -s
    rm -rf /Cisco\ VPN\ Client.mpkg
    rm -rf /com.nexUmoja.Shimo.plist
    rm -rf /Profiles
    rm -rf /Shimo.app
    exit
  3. 古い Cisco VPN Client または Shimo が必要でない場合は、次のコマンドを入力します。
    sudo -s
    rm -rf /Library/Application\ Support/Shimo
    rm -rf /Library/Frameworks/cisco-vpnclient.framework
    rm -rf /Library/Extensions/tun.kext
    rm -rf /Library/Extensions/tap.kext
    rm -rf /private/opt/cisco-vpnclient
    rm -rf /Applications/VPNClient.app
    rm -rf /Applications/Shimo.apprm -rf /private/etc/opt/cisco-vpnclient
    rm -rf /Library/Receipts/vpnclient-api.pkg
    rm -rf /Library/Receipts/vpnclient-bin.pkg
    rm -rf /Library/Receipts/vpnclient-gui.pkg
    rm -rf /Library/Receipts/vpnclient-profiles.pkg
    rm -rf ~/Library/Preferences/com.nexUmoja.Shimo.plist
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Preferences/com.cisco.VPNClient.plist
    rm -rf ~/Library/Application\ Support/SyncServices/Local/TFSM/com.
    nexumoja.Shimo.Profiles
    rm -rf ~/Library/Logs/Shimo*
    rm -rf ~/Library/Application\ Support/Shimo
    rm -rf ~/Library/Application\ Support/Growl/Tickets/Shimo.growlTicket
    exit

Q.  Cisco リモート アクセス VPN クライアント と AnyConnect VPN クライアントの機能はどのように違うのですか。

A.

これはこの資料の範囲を超えてありますが、それが新技術である新しい 機能が AnyConnect の各々の新しいリリースに転送されるので基本的に SSL VPN に Cisco リモートアクセス ソフトウェア VPN クライアントよりより多くの機能があり。 最新の AnyConnect モビリティ クライアント、バージョン 3.0 には、SSL VPN と IKEv2 の両方に向けた同じ機能豊富なサポートが含まれています。

IPSec VPN に関する質問

Q. IPsec を使用する場合、組み込み Mac VPN クライアントまたは Cisco リモート アクセス VPN クライアントを使用する必要がありますか。

A. いずれの VPN クライアントも使用することは可能ですが、それぞれの利点は次のとおりです。

: シスコは次世代暗号化(NGE)の暗号および IKEv2 プロトコルの進歩を利用できるようにする AnyConnect を使用することを推奨します。

Mac VPN クライアント

  • Apple 組み込みのクライアントは、Mac OS の発展に伴うサポートを確実にします。
  • クライアントは Mac OS X 10.6 以降に組み込まれています。
  • 他のアプリケーションのインストールを必要としないため、すばやく設定できます。
  • -- Mac OS X 10.5 には組み込まれていません。

Cisco リモート アクセス VPN クライアント

Q. Mac 組み込み VPN クライアントを設定するにはどうすればよいのですか。

A.

Mac OS X 10.6 以降:

  1. [System Preferences] > [Network]  を選択します。
  2. それをロック解除し、変更を行なうためにロック・ボタンをクリックして下さい。
  3. インターフェイスを追加するために ロック解除されたロック・ボタンの上のプラス記号をクリックして下さい。
  4. [Interface] ドロップダウン リストから、[VPN] を選択します。
  5. [VPN Type] ドロップダウン リストから、[Cisco IPSec] を選択します。
  6. [Service Name] テキスト ボックスに「Corp IPsec VPN」などの覚えやすいインターフェイス名を入力します。
  7. [OK]  をクリックし、この新しいインターフェイスを選択します。
  8. インターフェイスを設定するために新しい VPN インターフェイスをクリックして下さい。
    • サーバ アドレス - VPN ヘッドエンドの外部インターフェイス IP アドレス(WAN/一般的にルーティング可能な IP アドレス)
    • アカウント名 - ユーザ名
    • アカウントのパスワード - ユーザのパスワード
  9. [Authentication Settings] をクリックします。
    • [Machine Authentication] で、それぞれの認証メカニズム(事前共有キーまたは証明書認証)のオプション ボタンをクリックします。
    • VPN ヘッドエンドで定義された事前共有キーと一致する事前共有キーを使用する場合は、[Shared Secret] ダイアログボックスにキーを入力します。
    • VPN ヘッドエンド デバイスの EZVPN 設定で定義されたグループ名と一致するグループ名(ASA では「tunnel-group」、IOS では「crypto ipsec client ezvpn group」)を入力します。

Q. Lion で組み込み Mac クライアントを使用しようとしましたが、フェーズ 2 の不一致が表示されます。 どうすればよいのですか。

A.

Microsoft Windows のクライアントが動作している、または Cisco リモート アクセス VPN クライアントを使用する古い Mac が動作しているにもかかわらず、Lion 搭載のマシンのみが接続できていないと思われる場合、これはフェーズ 2 の不一致の問題である可能性があります。 このメッセージは、ASA で [debug crypto ipsec] をイネーブルにすると、表示されます。 これは、基本的に、使用されているトランスフォーム セットが Mac の組み込みクライアントが使用する暗号化をサポートしていないことを意味します。 Lion では、クライアントはトリプル DES または AES を使用します。 DES はサポートされていません。 この問題を回避するには、トランスフォーム セットが完全にトリプル DES を使用するように切り替えるか、次に示すように複数のトランスフォーム セットを追加します。

crypto ipsec transform-set ESP-AES-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535
set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA
ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
ESP-DES-SHA ESP-DES-MD5

通常、この問題はリリース 8.4 以前の ASA ソフトウェア リリースを実行することによって発生します。 以降 ASA ソフトウェアはデフォルトで定義されるすべての変換セットが付いていますそれをはたらかせます従って追加設定が必要となりません。

Q. Cisco リモート アクセス VPN クライアントとの互換性の問題はありますか。

A.

互換性のガイドラインについては、まず『ソフトウェアのリリース ノート』を参照してください。 このドキュメントで後述する Cisco リモート アクセス VPN クライアントと 64 ビット Mac カーネル間のエラー 51 互換性の問題に注意してください。

Q. Cisco リモート アクセス VPN クライアントはどこでダウンロードできますか。

A.

  1.  シスコのサポート ページを開きます。
  2. [Download Software] をクリックします。
  3. [Products] > [Security] > [Virtual Private Networks (VPN)] > [Cisco VPN Clients] > [Cisco VPN Client] を選択します。
  4. [Cisco VPN Client v4.x] を選択します。
  5. [Mac OS] を選択します。

: VPN Client v5.x は、Windows PC 向けのみにリリースされました。 最新の Mac リリースは v4.9 です。

Q. Cisco VPN Client を使用しようとしましたが、エラー 51 が表示されます。 どうすればよいのですか。

A.

詳細については、 MAC OS X の Cisco IPsec VPN クライアントでエラー「Error 51: Unable to communicate with the VPN subsystem」が発生するをご覧ください。

Q. 組み込み Mac VPN Client は ESP-NULL トランスフォームをサポートしていますか。

A.

いいえ。組み込みのクライアントは、このトランスフォーム セットをサポートしていません。

SSL VPN に関する質問

Q. AnyConnect Client との互換性の問題はありますか。

A.

互換性のガイドラインについては、『ソフトウェアのリリース ノート』を参照してください。 『ASA VPN 互換性リファレンス』を参照することもできます。 AnyConnect は、ASA バージョン 8.0 以降および Cisco IOS リリース 12.4(15)T 以降と互換性があります。

: 2011 年 8 月の時点では、AnyConnect リリース 3.0.3054 と 2.5.3054 は、Mac Lion OS X 10.7 と互換性があります。 問題が発生した場合は、Cisco Bug ID CSCtl43150CSCtq62860CSCtr64798CSCto09628(登録ユーザ専用)で回避策や修正を参照してください。

Q. Cisco AnyConnect VPN Client はどこでダウンロードできますか。

A.

  1.  シスコのサポート ページを開きます。
  2. [Download Software] をクリックします。
  3. [Products] > [Security] > [Virtual Private Networks (VPN)] > [Cisco VPN Clients] を選択します。
    • バージョン 3.0 の場合は、[Cisco AnyConnect Secure Mobility Client] を選択します。
    • バージョン 2.5 以前の場合は、[Cisco AnyConnect VPN Client] を選択します。
  4. ASA にアップロードする必要なパッケージを選択します。 ファイル名に含まれる「mac」と「.pkg」探し、ソフトウェアを Mac に直接インストールするには「.dmg」ファイルを選択します。

: 新しい Mac にはすべて Intel プロセッサが搭載されていますが、古い Mac コンピュータには PowerPC プロセッサが搭載されています。  それぞれのハードウェア アーキテクチャには個別の AnyConnect パッケージがあるため、ダウンロードするパッケージの名前に注意してください。

Q. Windows では AnyConnect を使用して接続できますが、Mac では接続できません。 なぜですか。

A.

サポートする各クライアント オペレーティング システムに対して個別の AnyConnect ソフトウェア パッケージを ASA にロードする必要があります。 サポートされていない OS から webvpn ポータルを参照し、AnyConnect を起動するときに発生するいくつかの一般的なエラーがあります。 これには次のものがあります。

  • AnyConnect パッケージをピアで使用できません。 システム管理者に問い合わせてください。
  • AnyConnect パッケージを使用できない、または破損しています。 システム管理者に問い合わせてください。

: 「The installer was not able to start the Cisco VPN Client.」というメッセージが表示される場合、互換性の問題である可能性があります。 具体的には、AnyConnect の最近のバージョン(たとえば、2.5 と 3.0)は、8.0.3 などの以前の ASA バージョンと互換性がありません。  詳細については、『ASA VPN 互換性リファレンス』を参照してください。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116080