Cisco VPN Client ユーザ ガイド Linux/Solaris 版 Release 3.7
VPN Client のインストール
VPN Client のインストール
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN Client のインストール

旧バージョン Client のアンインストール

VPN Client Solaris 版のアンインストール

VPN Client Linux 版のアンインストール

システム要件

Linux システム要件

ファイアウォールについて

トラブルシューティングのヒント

Solaris システム要件

カーネル バージョンの変更

VPN Client ファイルの解凍

ソフトウェアのインストール

VPN Client Linux 版のインストール

VPN Client Linux 版インストール スクリプトについて

VPN Client Solaris 版のインストール

VPN Client Solaris 版インストール スクリプトについて

VPN Client のインストール

この章では、VPN Client ソフトウェアをワークステーションにインストールする方法について説明します。この章の構成は、次のとおりです。

「旧バージョン Client のアンインストール」

「システム要件」

「VPN Client ファイルの解凍」

「ソフトウェアのインストール」

ここで説明する手順を実行するには、UNIX コンピュータにソフトウェアをインストールする知識が必要です。

VPN Client は、次のコンポーネントから構成されています。

ドライバ(ロード可能モジュール)

シェルからアクセス可能なコマンド群(アプリケーションへのアクセスに使用)

これらのコマンドとドライバの一部は、バイナリ形式でのみ配布されます。

旧バージョン Client のアンインストール

ここでは、旧バージョンの VPN Client をアンインストールする方法について説明します。

新バージョンの VPN Client Solaris 版をインストールする場合は、事前に、旧バージョンの VPN Client をアンインストールしておく必要があります。

新バージョンの VPN Client Linux 版をインストールする場合は、事前に、旧バージョンの VPN Client をアンインストールする必要はありません。

VPN Client をインストールする場合は、どのバージョンの VPN 5000 Client でも、事前に、アンインストールしておく必要があります。詳細は、Cisco VPN 5000 Client のマニュアルを参照してください。

VPN Client Solaris 版のアンインストール

VPN Client Solaris 版がすでにインストールされている場合は、インストール済みの VPN Client をいったん削除してから、新しいバージョンの VPN Client をインストールする必要があります。

パッケージをアンインストールするには、 pkgrm コマンドを使用します。たとえば、次のように入力します。

pkgrm vpnclient

VPN Client Linux 版のアンインストール

VPN Client Linux 版をアンインストールする手順は、次のとおりです。

1. vpn_uninstall スクリプトの保存場所に移動します。

このファイルは、root として実行する必要があります。

2. すべてのプロファイルと証明書の削除を確認するプロンプトが表示されます。

YES を選択すると、バイナリ ファイル、起動スクリプト、証明書、プロファイル、およびインストール中に作成されたディレクトリがすべて削除されます。

NO を選択すると、バイナリ ファイルと起動スクリプトがすべて削除されます。ただし、証明書、プロファイル、および vpnclient.ini ファイルは削除されません。

システム要件

ここでは、各オペレーティング システムに対する VPN Client のシステム要件について説明します。

Linux システム要件

VPN Client Linux 版は、RedHat バージョン 6.2 Linux(Intel)、または glibc バージョン 2.1.1-6 以降の互換ライブラリを備えた RedHat で、カーネル バージョン 2.2.12 以降をサポートしています。


) VPN Client Linux 版では、カーネル バージョン 2.5 または SMP(マルチプロセッサ)カーネルをサポートしていません。


ファイアウォールについて

ipchains や iptables などの Linux ファイアウォールを実行している場合は、次のトラフィックのパススルーが許されていることを確認してください。

UDP ポート 500

UDP ポート 10000(または IPSec/UDP に使用されているポート番号)

IP プロトコル 50(ESP)

IPSec/TCP に設定されている TCP ポート

NAT-T ポート 4500

トラブルシューティングのヒント

Linux のインストールの場合、次に示す 2 行 が /etc/sysconfig/ipchains ディレクトリにデフォルトで追加されることがあります。RedHat では、/etc/sysconfig/ipchains ディレクトリに追加されます。これらの 2 つのコマンドは、UDP トラフィックのパススルーを回避する場合があります。

-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
 

UDP トラフィックに障害がある場合は、次のいずれかの方法を試してください。

前述の 2 つの REJECT 行を削除してから、次の 2 つのコマンドを入力します。

/etc/init.d/ipchains stop
/etc/init.d/ipchains start
 

) ipchains は iptables に置き換えられる場合があります。または、Linux ディストリビューションの別のディレクトリに置かれる場合があります。


次の規則をデフォルトの ipchains ファイアウォール構成に追加するか、あるいは前述の UDP の REJECT 行のいずれかに追加します。

-A input -p udp -s 0/0 -d 0/0 500 -j ACCEPT
 

この規則により、VPN Client の接続に必要な UDP ポート 500 を使用できます。

Solaris システム要件

VPN Client Solaris 版は、32 ビットまたは 64 ビットの Solaris カーネル OS バージョン 2.6 以降を搭載する UltraSPARC コンピュータで動作します。

カーネル バージョンの変更

32 ビットまたは 64 ビットのカーネル バージョンを実行する VPN Client をインストールできます。これは、32 ビット モードまたは 64 ビット モードと呼ばれています。いずれかのモードで VPN Client をインストールまたは実行する際に問題が発生した場合は、もう一方のモードを試してください。

どのモードでシステムが動作しているかを確認するには、次のコマンドを入力します。

isainfo -kv
 

cipsec モジュールが正常にロードされている場合、dmesg ログに次のようなメッセージが表示されます。

Oct 29 11:09:54 sol-2062 cipsec: [ID 952494 kern.notice] Cisco Unity IPSec Module Load OK

) dmesg ログに cipsec ログ メッセージが表示されない場合は、もう一方のモードに切り替える必要があります。


32 ビット モードに切り替える手順は、次のとおりです。

一時的に切り替えるには、次のコマンドを入力します(ok はシステム プロンプトを表しています)。

ok boot kernel/unix
 

永続的に切り替えるには、root として次のコマンドを入力し、コンピュータを再起動します。

eeprom boot-file=/platform/sun4u/kernel/unix
 

64 ビット モードに切り替える手順は、次のとおりです。

一時的に切り替えるには、次のコマンドを入力します(ok はシステム プロンプトを表しています)。

ok boot kernel/sparcv9/unix
 

永続的に切り替えるには、root として次のコマンドを入力し、コンピュータを再起動します。

eeprom boot-file=/platform/sun4u/kernel/sparcv9/unix

VPN Client ファイルの解凍

VPN Client は、tar 圧縮形式のファイルで出荷されています。

この圧縮ファイルを解凍する手順は、次のとおりです。


ステップ 1 社内ネットワークまたはシスコの Web サイトから、圧縮ファイルを任意のディレクトリにダウンロードします。

ステップ 2 指定したディレクトリにこの VPN Client ファイルをコピーします。

ステップ 3 zcat コマンドと tar コマンドを使用して、このファイルを解凍します。

たとえば、Linux では次のコマンドを入力します。

zcat vpnclient-linux-3.7.xxx-K9.tar.gz | tar xvf -
 

Solaris では次のコマンドを入力します。

zcat vpnclient-solaris-3.7.xxx-K9.tar.Z | tar xvf -
 

このコマンドを実行すると、現在のディレクトリ内に vpnclient ディレクトリが作成されます。


 

ソフトウェアのインストール

ここでは、各オペレーティング システムに VPN Client をインストールする手順について説明します。

VPN Client Linux 版のインストール

新しいバージョンの VPN Client をインストールする場合、または現在のバージョンを再インストールする場合は、事前に stop コマンドを使用して VPN サービスを使用不可にしておく必要があります。

VPN 5000 Client から新しい VPN Client にアップグレードする場合は、次の stop コマンドを使用します。

/etc/rc.d/init.d/vpn stop
 

VPN 3000 Client から新しい VPN Client にアップグレードする場合は、次の stop コマンドを使用します。

/etc/rc.d/init.d/vpnclient_init stop
 

VPN Client Linux 版をインストールする手順は、次のとおりです。


ステップ 1 インストール スクリプトを実行するためにスーパーユーザ権限を取得します。

ステップ 2 次のコマンドを入力します。

cd vpnclient
./vpn_install
 

バイナリ、カーネル、VPN モジュール、およびプロファイルのデフォルト ディレクトリが、インストール中に表示されます。

インストール中に次のプロンプトが表示されます。

Directory where binaries will be installed[/lib/modules/<kernel version>/build/](バイナリがインストールされるディレクトリ[/lib/modules/<カーネルのバージョン>/build/])

Automatically start the VPN service at boot time[yes](ブート時の VPN サービスの自動起動[yes])

Directory containing linux kernel source code[/usr/src/linux](Linux カーネルのソース コードを含むディレクトリ[/usr/src/linux])

Is the above correct[y](以上の入力内容で正しいですか[y])

ステップ 3 Enter を押してデフォルトの内容を選択します。ディレクトリの選択時にデフォルトを選択しない場合、別のディレクトリをユーザのパスに入力する必要があります。

ステップ 4 インストーラがこれらの設定を自動的に検出できない場合は、次のプロンプトが表示されます。

Directory containing init scripts:(init スクリプトを含むディレクトリ)

これは、ブート時に実行されるスクリプトが保存されるディレクトリです。通常、このディレクトリは /etc/init.d または /etc/rc.d/init.d です。

Directory containing run level directories(rcX.d):(実行レベルのディレクトリ(rcX.d)を含むディレクトリ)

これは、init の実行レベルのディレクトリを含むディレクトリです。通常、このディレクトリは /etc または /etc/rc.d です。

ステップ 5 次のいずれかの方法で、VPN サービスを使用可能にします。

コンピュータを再起動します。

コンピュータを再起動しないでサービスを使用可能にするには、次のコマンドを入力します。

/etc/rc.d/init.d/vpnclient_init start
 


 

VPN Client Linux 版インストール スクリプトについて

インストール中に、次の処理が行われます。

1. モジュールは、コンパイルとリンクが行われ、/lib/modules/preferred/CiscoVPN ディレクトリ(存在する場合)、または /lib/modules/system/CiscoVPN にコピーされます。ここでの system は、カーネル バージョンを表します。

2. アプリケーション バイナリは、指定されたディレクトリにコピーされます。

3. VPN サービスを使用可能または使用不可にする起動ファイル /etc/rc.d/init.d/vpnclient_init が作成されます。

4. /etc/rc3.d/s85vpnclient リンクおよび etc/rc5.d/s85vpnclient リンクが追加され、ブート時に起動が要求された場合にレベル 3 およびレベル 5 で実行されます。

前述のリンクにより、トンネル サーバがブート時に起動し、レベル 3 およびレベル 5 で実行されます。

VPN Client Solaris 版のインストール

新しいバージョンの VPN Client をインストールする場合、または現在のバージョンを再インストールする場合は、事前にインストールされている VPN Client をアンインストールしておく必要があります。詳細は、「旧バージョン Client のアンインストール」を参照してください。


) VPN Client Solaris リリース 3.7 以降をバージョン 2.6 の Solaris プラットフォームにインストールする場合、VPN Client のインストール中に次のメッセージが表示されます。『Patch 105181 version 29(or higher)to Solaris 2.6 is required for the client to function properly.(クライアントを正しく機能させるには、Solaris 2.6 へのパッチ 105181 バージョン 29 以降が必要です。)』 『Installing without this patch will cause the kernel to crash as soon as the client kernel module is loaded.(このパッチを適用しないでインストールを行うと、クライアントのカーネル モジュールがロードされると同時にカーネルがクラッシュします。)』 『This patch is available from Sun as part of the "Recommended Solaris Patch Cluster".(このパッチは、「Recommended Solaris Patch Cluster」の一部として Sun から入手できます。)』 『If you proceed with installation, the kernel module will not be enabled.(インストールを続行すると、カーネル モジュールは使用不可になります。)』 『After you have installed the patch, you may enable the kernel module by uncommenting all lines in /etc/iu.ap that contain ‘cipsec'.(パッチをインストールすると、「cipsec」を含む /etc/iu.ap のすべての行をアンコメントしてカーネル モジュールを使用可能にできます。)』


VPN Client Solaris 版をインストールする手順は、次のとおりです。


ステップ 1 インストール スクリプトを実行するためにスーパーユーザ権限を取得します。

ステップ 2 次のコマンドを入力します。

pkgadd -d . vpnclient
 

バイナリ、カーネル、VPN モジュール、およびプロファイルのデフォルト ディレクトリが、インストール中に表示されます。

インストール中に次のプロンプトが表示されます。

Directory where binaries will be installed[/usr/local/bin](バイナリがインストールされるディレクトリ[/usr/local/bin])

Is the above correct[y](以上の入力内容で正しいですか[y])

インストーラで VPN Client と別のアプリケーションとの競合がみつかった場合、次のメッセージが表示されます。

The following files are already installed on the system and are being used by another package:<installer lists files> Do you want to install these conflicting files[y,n,?,q](次のファイルはすでにシステムにインストールされ、別のパッケージにより使用されています: <表示されているファイル>これらの競合ファイルをインストールしますか[y,n,?,q])

The following files are being installed with setuid and/or setgid permissions:<installer lists files>Do you want to install these as setuid/setgid files[y,n,?,q](次のファイルが setuid と setgid の権限でインストールされます: <表示されているファイル>これらのファイルを setuid/setgid ファイルとしてインストールしますか[y,n,?,q])

This package contains scripts which will be executed with super-user permission during the process of installing this package. Do you want to continue with the installation of <vpnclient>[y,n,?](このパッケージには、パッケージのインストール中にスーパーユーザ権限で実行されるスクリプトが含まれています。<vpnclient> のインストールを続行しますか[y,n,?])

ステップ 3 Enter を押してデフォルトの入力内容を選択します。ディレクトリの選択時にデフォルトを選択しない場合、別のディレクトリをユーザのパスに入力する必要があります。

ステップ 4 コンピュータを再起動します。


 

VPN Client Solaris 版インストール スクリプトについて

インストール中に、次の処理が行われます。

1. 次の行が /etc/iu.ap ファイルに追加され、起動時に自動プッシュ機能が使用可能になります。

<dev_name> -1 0 cipsec
 

ここでの dev_name は後続に数字が付いていないインターフェイスの名前です(例: ipdtp、le、hme)。検出されたサポートされているネットワーク装置ごとに 1 行追加されます。

2. VPN モジュールが /kernel/strmod ディレクトリ(システムのモジュール検索パス内)にコピーされます。

pkginfo コマンドを実行すると、インストールされているパッケージの情報が表示されます。パッケージに関連するその他のコマンドの情報を表示するには、次のコマンドを入力します。

man pkgadd