Seguridad : Cisco IOS SSLVPN

Cliente VPN FAQ SSL

20 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (15 Septiembre 2014) | Comentarios


Preguntas


Introducción

Este documento proporciona información sobre las preguntas más frecuentes (FAQ) relacionadas con el SSL VPN Client (SVC). Cisco SVC proporciona a los usuarios finales que ejecutan Microsoft Windows XP o Windows 2000 las ventajas de Cisco IPsec VPN Client sin la carga administrativa requerida para instalar y configurar un cliente IPSec. Cisco SVC soporta las aplicaciones y las funciones que no están disponibles en una conexión WebVPN estándar.

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Soporte de los Productos

Q. ¿El SSL VPN Client es soportado en el Cisco ASA 5500 Adaptive Security Appliance?

A. El SSL VPN Client es soportado en la Versión de Software 7.1 de Cisco ASA 5500 Adaptive Security Appliance.

Q. ¿El SSL VPN Client es soportado en los IOS Routers o Cisco 6500/7600?

A. El SSL VPN Client es soportado en los routers Cisco 870, 1800, 2800, 3700, 3800, 7200, y 7301 que ejecutan imágenes de seguridad avanzada de Cisco IOS Software Release 12.4(6)T. Para obtener más información sobre el WebVPN IOS, consulte Recursos WebVPN de Cisco IOS. El WebVPN de Cisco mantiene al cliente de VPN de los soportes del módulo SSL en el Cisco 6500/7600.

Q. ¿Qué versión de software necesito en el Cisco VPN 3000 Concentrator para soportar el Cisco SSL VPN Client?

A. Los Cisco VPN 3000 Concentrators funcionan con la Versión de Software 4.7 o posterior para el soporte de la Versión de Software 1.0.1 o posterior de SSL VPN Client.

Nota: Para Cisco SSL VPN Client Release 1.0.2, Cisco VPN 3000 Concentrators ejecuta la Versión de Software 4.7.2 o posterior. Cisco SSL VPN ClientRelease 1.0.2 no funciona con un VPN 3000 Concentrator que ejecute una Versión de Software anterior a 4.7.2.

Si necesita actualizar el VPN 3000 Concentrator a la Versión de Software 4.7.2, consulte la sección Actualización a la Versión 4.7.2 de 4.7.2 Notas de Versión para Cisco VPN 3000 Series VPN, Release 4.7.2.

Q. ¿La autenticación bifactorial se soporta en SSL VPN Client?

A. SSL VPN Client soporta la Autenticación Bifactorial en ASA versión 8.2(x) y posterior. No se soporta en las versiones anteriores a 8.2.(x).

Instalación

Q. ¿Cómo instalo un Cisco SSL VPN Client en el Cisco VPN 3000 Concentrator?

A. Siga estos pasos para instalar un Cisco SSL VPN Client en el VPN 3000 Concentrator:

Nota: Antes de que comenzar con la descarga, asegúrese de que su escritorio puede acceder al Cisco VPN 3000 Concentrator.

  1. Descargue SSL Client file sslclient-win*.pkg en su equipo de escritorio. Proceda al paso 2 si el VPN 3000 Concentrator no funciona con la Versión de Software 4.7.2. Proceda directamente al paso de progresión 3 si el VPN 3000 Concentrator funciona con el Software Release 4.7.2.
  2. Actualice el VPN 3000 Concentrator a la Versión de Software 4.7.2. Consulte la sección Actualización a la Versión 4.7.2 4.7.2 de Notas de Versión para Cisco VPN 3000 Series, Versión 4.7.2.
  3. En el VPN Concentrator, elija Configuration > Tunneling and Security > WebVPN > Cisco SSL VPN Client y haga clic en Install a new SVC.
  4. Haga clic en Browse y diríjase al directorio donde descargó el software de SSL VPN Client.
  5. Haga clic en Apply para descargar el SSL VPN Client en el VPN 3000 Concentrator.

    Nota: El SSL VPN Client ya está cargado en Cisco VPN 3000 Concentrator Release 4.7.

Q. ¿El SVC y el CSD soportan la Versión en chino de Windows 2000 y XP?

A. No.

Q. ¿La instalación del SVC funciona con MSJVM?

A. Sí, aunque debe tener en cuenta que Microsoft no soporta esta versión desde el 31 de diciembre de 2007. De hecho, ya no puede descargarse desde el sitio web de Microsoft; lo dirige a clientes alternativos (Sun JVM) de Java.

Q. ¿El l SVC Client soporta Windows 98?

A. No hay planes para soportar Windows 98 con este SVC. Windows 98 ya tiene más de 7 años y casi llega al fin de venta (EOS) para Microsoft. Solamente se soportan Windows 2000 y XP porque solamente esos sistemas operativos de Windows permiten la instalación de un driver de red sin un reboot.

Q. ¿Cómo detengo a SSL VPN Client si intenta instalarse en el equipo cada vez que me conecto con WebVPN?

A. Verifique la opción KEEP THE CISCO SSL VPN CLIENT en la estación de trabajo de SSL VPN Client. La próxima vez que intente acceder a SSL VPN Client, éste verifica con el VPN Concentrator para asegurarse de que la versión que tiene sea la misma que la del VPN Concentrator y que sea la más reciente.

Elija Configuration > User Management > Base Group, Group and/or User parameters y la pestaña WebVPN: Guarde el Cisco SSL VPN Client para finalizarla tarea.

Q. ¿Cómo instalo el SVC silenciosamente y desinstalo el SVC del sistema del cliente?

A. Para instalar el SVC sin indicaciones, use el switch stcie /nodlgnoerr (/? para obtener ayuda). Para desinstalarlo, utilice la desinstalación invisible.

Q. ¿Los usuarios sin privilegios pueden desinstalar el InstallEnabler?

A. No, se requieren privilegios de administrador para instalar y desinstalar.

Q. El pre-installer STCIE.EXE sólo parece instalar el servicio “STCAgent”. ¿Puede también instalar el LSP “Cisco Systems SSL VPN Adapter”?

A. La meta es instalar el mínimo indispensable necesario para el resto de la instalación para continuar y para mantener el tamaño de la descarga del archivo a un mínimo, y no instalar el conjunto entero.

Q. ¿Cuál es el proceso de la instalación del SVC, y se puede empaquetar con el SMS de Microsoft?

A. El STCIE es un habilitador de instalación. No instala el driver. Solamente instala el código suficiente para proporcionar el impulso de privilegio necesario para completar la instalación. En la siguiente discusión, el problema no se puede solucionar con el habilitador de instalación porque el problema es que la descarga y ejecución del archivo temporal están bloqueadas por la política CSA que ejecutan.

Además, el svcxxx.zip puede ser descomprimido en cualquier trayectoria y, por lo tanto, el STCIE.EXE puede estar en cualquier trayectoria que el usuario elija. El STCIE.EXE no instala el conjunto entero SVC. Instala solamente suficientes componentes para descargar y para instalar el SVC entero cuando el usuario se conecta con el SG la próxima vez (con los privilegios de administración). El STCIE.EXE también se conoce como “habilitador de la instalación.” La trayectoria de instalación de SVC está en el código y no es configurable. Posiblemente, una trayectoria de instalación configurable no sea una buena función de SVC. También, “C:\Documents and Settings\normlee\Local el Settings\Temp\Temp8-Fg2e8" es un almacén temporal SVC que se adquiere del OS y no es visible para el usuario. Si hay un problema para este almacén temporal, es el problema de configuración SO. Extraído de “http://vpnpedia/index.php/SSL_VPN_FAQ.”

Q. ¿RADIUS con Expiry y MS IAS son soportados con el SSL VPN Client?

A. No. RADIUS con Expiry no se soporta para SSL VPN; el soporte para esta fucnión está solamente disponible en el ASA, y no hay planes para que esta función esté disponible para los sistemas actuales 3K.

Q. ¿Puede el SVC coexistir con el Nortel Client?

A. Se probó la Version 4.65 Nortel Client con SVC y funciona bien.

Autorización

Q. Tengo una licencia 10-user para SSL VPN en el ASA. ¿Cómo actualizo a una licencia del usuario de VPN de 100 SSL?

A. Usted no puede actualizar directamente al 100-user una licencia de una licencia 10-user. Usted necesita comprar un 10-25 SSL VPN, entonces 25-50 SSL VPN, y entonces 50-100 SSL VPN. Si usted intenta actualizar directamente, esto puede obstaculizar el uso de otras licencias también. Refiera a la información de autorización (clientes registrados solamente) para más información.

Servicios

Q. ¿Qué clase de listas de control de acceso (ACL) el SSL VPN Client soporta?

A. El SSL VPN Client soporta las ACLs tipo IP y no las WebVPN ACLs. Puede filtrar el tráfico del SSL VPN Client cuando elige los filtros en la pestaña General Group. Esto es similar al software de VPN Client.

Q. ¿Puedo asignar las direcciones IP con el DHCP a los dispositivos cuando utilizo al SSL VPN Client?

A. Sí, cuando utiliza al SSL VPN Client puede obtener las direcciones IP de un servidor DHCP o de un conjunto local de direcciones creado en el VPN 3000 Concentrator.

Q. El SSL VPN Client funciona bien pero no resuelve los nombres DNS, ¿por qué?

A. Si ha configurado el VPN Client o el PPTP Client para utilizar al mismo grupo que el del SSL VPN Client, asegúrese de que haya habilitado el IPSec en el grupo donde el cliente se conecta. Esto resuelve el problema de DNS.

Q. ¿Se puede efectuar el control de la máquina remota con el SVC, incluso si se habilita la tunelización dividida?

A. El RDP interrumpe la conexión por el diseño. No se ha probado ninguna otra aplicación de control remoto.

Q. ¿Puede el SSL VPN Client (SVC) tener soporte para la función de vencimiento de la contraseña?

A. No.

Q. El login falla en SSL VPN cuando los caracteres que no son ASCII (ä, ü) están presentes en el nombre de usuario o la contraseña. ¿Por qué ocurre esto?

A. Este problema se debe a la Cisco Bug ID CSCso04556 (sólo clientes registrados).

Para obtener una solución temporal a este problema, evite los caracteres especiales (que no sean ASCII) en el nombre de usuario y contraseña.

Mensajes de error

Q. El SSL VPN Client no puede iniciar en Windows Vista con el Internet Explorer 7, y el usuario recibe el mensaje de error Installer is downloading Active x….Installer was not able to start SSL VPN client.... , ¿por qué?

A. Causa:

El error aparece porque el SSL VPN Client (SVC) no puede iniciar una conexión.

Esto sucede debido a problemas con la instalación/descarga de ActiveX en Windows Vista con Microsoft Internet Explorer 7. Windows Vista se incluye con Internet Explorer 7, que tiene un modelo totalmente nuevo que administra ActiveX. Independientemente de las diferencias en ActiveX, se ha reescrito el stack de la conexión entre redes, y la tabla de ruteo es diferente. También algunos otros rasgos que pueden afectar al cliente.

Resolución:

El SVC no es compatible con Windows Vista ni soportado en éste con el navegador de Internet Explorer 7 a partir de ahora.

La solución temporal es utilizar las plataformas soportadas, tales como Windows XP, con Internet Explorer 7.

Nota:  El SVC se soporta en Windows Vista con el navegador de Internet Explorer 7 en la ASA versión 8.x y posterior.

Q. Los usuarios detrás de un proxy de Microsoft no reciben el error "None of the authentication protocols offered by the proxy server are supported.” cuando se conectan con el VPN Concentrator a través del SSL VPN Client, ¿por qué?

A. Este mensaje de error significa generalmente que el servidor proxy está configurado para utilizar un mecanismo de autenticación que no es soportado por el SSL VPN Client. En este momento, NT LAN Manager (NTLM) y Basic son los únicos protocolos soportados por el SSL VPN Client. Utilice siempre el NTLM cuando utiliza el servidor proxy.

Q. Recibo el cliente VPN SSL no podía modificar reenvío de IP la tabla. Una conexión VPN SSL no será mensaje de error establecido, y el VPN no puede conectar. ¿Por qué ocurre esto?

A. Este problema es debido al Id. de bug Cisco CSCeh52036 (clientes registrados solamente). Consulte bug para obtener más información.

Q. ¿Cómo usted resuelve estos errores al intentar modificar un arreglo para requisitos particulares se opone para SSL VPN en el ASDM? “[ERROR] arreglo para requisitos particulares name1 disk0:/tmpAsdmImportFile1943056207” “%ERROR del webvpn de la importación: tentativa “auténtico-página” al campo índice (un valor de nada)”

A. Este comportamiento del error se ha observado y se ha clasifiado como Id. de bug Cisco CSCti42085 (clientes registrados solamente). Para resolver este error, repare el DfltCustomization XML y después revise.

  1. Exporte el DfltCustomization.

  2. Busque la etiqueta del <form-order> y entonces para esta lista:

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[500]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>

    Note que el secundario-nombre de usuario y la contraseña secundaria tienen el mismo identificador de la orden.

  3. Corrija esto cambiando la entrada de la contraseña secundaria a 600.

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[600]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>
  4. Importe el archivo XML corregido sobre el DfltCustomization existente.

El ASDM debe ahora poder reordenar la orden de campos de la forma del inicio.

Miscelánea

Q. ¿Puede un script del login de Windows ejecutarse cuando está conectado a través del SSL VPN Client?

A. Esto no es posible a través del SSL VPN Client porque no hay START BEFORE LOGIN equivalente hasta el momento.

Q. ¿Puedo tener una lista de servidores de autenticación cuando utilizo SSL VPN Client?

A. Sí, si el primer servidor en la lista es inalcanzable, se entra en contacto con el siguiente servidor en la lista.

Q. ¿Cómo puedo evitar las advertencias del certificado para el SVC en el Concentrador?

A. Distribuya la raíz confiable del concentrador e importe el certificado del Concentrador de una raíz conocida y confiable.

Q. ¿Tiene la regeneración de claves de SSL un peso más liviano que el IPSec?

A. La regeneración de claves de SSL no requiere un crypto RSA u operación DH. El secreto principal que fue utilizado en la entrada en contacto inicial se combina con los nuevos datos aleatorios del servidor y del cliente para generar las nuevas claves. Observe que en la regeneración de claves de SSL, todas las entradas en contacto se cifran con el SSL.

Q. Si se inhabilitan ActiveX y Java, no puedo ejecutar la instalación SVC a través del navegador. ¿Debo recibir STCIE.EXE?

A. Si ActiveX y Java no pueden detectar en el equipo del cliente, dirigen al usuario a la página de inicio de WebVPN, pero solamente si no está verificada la opción “Require Cisco Cisco SSL VPN Client” en parámetros de WebVPN para el grupo de interés . Si se verifica esta opción, la reorientación a la página de inicio del WebVPN no ocurre. No hay opción para descargar un conjunto de instalación para el SSL VPN Client.

Nota: Hay un archivo sslclient-win-1.0.0.x.zip que contiene un conjunto de instalación previa para instalar el servicio del Agente SVC (con los privilegios de administración) en un equipo de cliente. Este procedimiento de instalación se detalla en las notas de versión. Una vez instalado, esto permite el paquete completo de SSL VPN Client se descargue y se instale mientras está en el modo de no administración con el mecanismo de la descarga de ActiveX/de Java, que debe ser habilitado en el equipo del cliente.

Q. ¿Qué privilegios se requieren dentro del IE para permitir que ActiveX funcione?

A. Cuando una cuenta de “Invitado” se crea en equipo del cliente, es importante determinar con qué grupo se asocia esa cuenta de “Invitado”. Para hacerlo, haga clic con el botón derecho en My Computer and choose Manage > Local users and Groups > Users. Elija a un usuario, haga doble clic, y determine de qué grupo el usuario es un miembro. La lista incluye Administradores, los Usuarios Avanzados, y Usuarios. El grupo de usuarios no tiene en cuenta para que ActiveX funcione, mientras que los otros sí.

Q. ¿Si desea que los usuarios establezcan un túnel SSL VPN en una “máquina corporativa,” ¿se puede hacer algo para verificar la plataforma antes de que el VPN se establezca o aún antes de la autenticación?

A. Sí, use Cisco Secure Desktop el registro, archivo/hash, o certificado digital para determinar esto.

Q. ¿Cómo funciona la negociación SSLv3/TLSv1?

A. Las políticas de negociación SSLv3/TLSv1 y de aceptación del certificado son la implementación “estándar” de Microsoft. Es decir, el SSLv3/TLSv1 utiliza el archivo incorporado de Microsoft SChannel.dll, y la dirección del certificado es implementación “estándar” del navegador como parte del almacén del certificado IE, es decir, el método de negociación SSL y de dirección del certificado no cambia “del comportamiento predeterminado de MS”.

Q. ¿Cuándo el latido configurable fue implementado en el SVC y el 3K?

A. Estos DDTSs cubren los cambios necesarios en el SSL VPN Client cuando opera detrás de un servidor Proxy de Netcache y se implementa en SVC Release 1.0.1.116 publicada el 30 de junio de 2005. El CSCsb08657 SVC no puede pasar los datos cuando está detrás de un dispositivo NAT, a través de Terminaciones Intermitentes del Servidor Proxy CSCsb01423 un SVC, o cuando está detrás de un Servidor Proxy CSCsa97704 de Netcache. Un latido configurable es necesario para mantener una conexión proxy abierta. Los cambios correspondientes requeridos para el centro distribuidor VPN3000 fueron publicados como parte 4.7.2 de la versión el 21 de junio de 2005. Si se utiliza la versión 4.7.2 (o posterior), es necesario actualizar la versión del SVC a 1.0.1.116 o posterior. CSCei01721 - un latido configurable es necesario mantener la conexión proxy SVC activa.

Q. ¿Cuándo se agregó el soporte de proxy al SVC?

A. Esto fue agregado como parte del DDTS CSCsd05126 en la versión 1.1.0.x.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 67909