Безопасность : Cisco IOS SSLVPN

SSL VPN клиент FAQ

20 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (15 сентября 2014) | Отзыв


Вопросы


Введение

Этот документ предоставляет информацию о большинстве часто задаваемых вопросов (FAQ), связанных с SSL VPN клиентом (SVC). SVC Cisco предоставляет конечным пользователям, которые управляют Microsoft Windows XP или Windows 2000 с выгодой Cisco IPsec VPN Клиент без административного верхнего, требуемого устанавливать и формировать клиента IPsec. Cisco SVC поддерживает заявления и функции, недоступные к стандартной связи WebVPN.

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Поддержка продуктов

Q. Является SSL VPN Клиентом, поддержанным на Cisco ASA 5500 Адаптивный Прибор безопасности?

A. SSL VPN Клиент поддержан в Версии 7.1 программного обеспечения Cisco ASA 5500 Адаптивный Прибор безопасности.

Q. Является SSL VPN Клиентом, поддержанным на Маршрутизаторах IOS или Cisco 6500/7600?

A. SSL VPN Клиент поддержан на Cisco 870, 1800, 2800, 3700, 3800, 7200, и 7301 маршрутизатор, которые управляют продвинутыми изображениями безопасности Выпуска 12.4 (6) T программного обеспечения Cisco IOS. Для получения дополнительной информации о IOS WebVPN обратитесь к ресурсам Cisco IOS WebVPN. Сервисный модуль Cisco WebVPN поддерживает SSL VPN Клиент на Cisco 6500/7600.

Q. В каком выпуске программного обеспечения я нуждаюсь на концентраторе Cisco VPN 3000 для поддержки Cisco SSL VPN Клиент?

A. Cisco VPN 3000 Концентраторов управляет Выпуском 4.7 программного обеспечения или позже для поддержки SSL VPN Выпуск 1.0.1 клиентского программного обеспечения или позже.

Примечание: Для Cisco SSL VPN Выпуск 1.0.2 Клиента, Cisco VPN 3000 Концентраторов управляют Выпуском 4.7.2 программного обеспечения или позже. Cisco SSL VPN Выпуск 1.0.2 Клиента не работает с концентратором VPN 3000, который управляет Выпуском программного обеспечения ранее, чем 4.7.2.

Если необходимо модернизировать концентратор VPN 3000 до Выпуска 4.7.2 программного обеспечения, обратитесь к Модернизации до раздела Выпуска 4.7.2 Информации о версии для Серийного концентратора Cisco VPN 3000, Выпуска 4.7.2.

Q. Двухфакторная аутентификация поддержана в SSL VPN Клиент?

A. SSL VPN Клиент поддерживает Двухфакторную аутентификацию в версии 8.2 (x) ASA и позже. Это не поддержано в версиях ранее, чем 8.2. (x).

Установка

Q. Как я устанавливаю Cisco SSL VPN Клиент на концентраторе Cisco VPN 3000?

A. Закончите эти шаги для установки Cisco SSL VPN Клиент на концентраторе VPN 3000:

Примечание: перед стартом загрузки удостоверьтесь, что рабочий стол может получить доступ к концентратору Cisco VPN 3000.

  1. Загрузите файл Клиента SSL sslclient-win*.pkg на вашем рабочем столе. Продолжите двигаться к шагу 2, если концентратор VPN 3000 не управляет Выпуском 4.7.2 программного обеспечения. Продолжите двигаться непосредственно к шагу 3, если концентратор VPN 3000 управляет Выпуском 4.7.2 программного обеспечения.
  2. Модернизируйте концентратор VPN 3000 до Выпуска 4.7.2 программного обеспечения. Обратитесь к Модернизации до раздела Выпуска 4.7.2 Информации о версии для Серийного концентратора Cisco VPN 3000, Выпуска 4.7.2.
  3. На Концентраторе VPN выберите Конфигурацию> Туннелирование и безопасность> WebVPN> Cisco SSL VPN Клиент и нажмите Install новый SVC.
  4. Нажмите Browse и пойдите в справочник, где вы загрузили SSL VPN клиентское программное обеспечение.
  5. Нажмите Apply для загрузки SSL VPN Клиент на концентраторе VPN 3000.

    Примечание: SSL VPN Клиент уже загружен на выпуске 4.7 Cisco VPN 3000 Концентратора.

Q. SVC и CSD поддерживают китайский языковой Windows 2000 и XP?

A. Нет.

Q. Установка SVC работает с MSJVM?

A. Да, хотя примечание, что Microsoft не поддерживает это прошлое 31 декабря 2007. Фактически, это больше не может загружаться с веб-сайта Microsoft; это направляет вас к альтернативе (Солнце JVM) Явские клиенты.

Q. Клиент SVC поддерживает Windows 98?

A. Нет никаких планов поддержать Windows 98 с этим SVC. Windows 98 более чем 7 лет и почти в пункте EOS Microsoft. Только Windows 2000 и XP поддержаны, потому что только те операционные системы Windows разрешают установку сетевого водителя без перезагрузки.

Q. Как я останавливаю SSL VPN Клиент от попытки установить на PC каждый раз, когда я соединяюсь с WebVPN?

A. Проверьте KEEP THE CISCO SSL VPN выбор CLIENT на SSL VPN автоматизированное рабочее место Клиента. В следующий раз, когда вы судите к логину SSL VPN Клиента, это проверяет с Концентратором VPN, чтобы удостовериться, что версия, которую это имеет, совпадает с версией Концентратора VPN и что это является последним.

Выберите Конфигурацию> Управление пользователями> Base Group, Группа и/или Пользовательские параметры и Счет WebVPN: Держите Cisco SSL VPN Клиент для выполнения этого.

Q. Как я устанавливаю SVC тихо и деинсталлирую SVC от системы клиента?

A. Для установки SVC ни с кем, вызывает, используйте stcie/nodlgnoerr выключатель (/? для помощи). Для деинсталлирования его используйте деинсталлирование невидимого.

Q. Может Установить Инструмент реализации быть деинсталлированным непривилегированными пользователями?

A. Нет, привилегии администратора требуются для, устанавливают и деинсталлируют.

Q. Предварительный инсталлятор STCIE.EXE только, кажется, устанавливает обслуживание “STCAgent”. Это может также установить LSP “Системы Cisco SSL VPN Адаптер”?

A. Цель состоит в том, чтобы установить абсолютный минимум, необходимый для остальной части установки, чтобы продолжить и держать размер загрузки файла к минимуму, не установить весь пакет.

Q. Каков процесс установки SVC, и это может быть упаковано с SMS Microsoft?

A. STCIE является устанавливать инструментом реализации. Это не устанавливает водителя. Это просто устанавливает достаточно кодекса для обеспечения, повышение привилегии должно было закончить устанавливание. В обсуждении ниже, проблема не может быть решена с устанавливать инструментом реализации, так как проблема - то, что временный файл загружает и выполняет, заблокированы политикой CSA, которой они управляют.

Кроме того, svcxxx.zip может быть расстегнут в любом пути, и это помещает STCIE.EXE в любой путь, который выбирает пользователь. STCIE.EXE не устанавливает весь пакет SVC. Когда пользователь соединяется с SG в следующий раз (с admin привилегиями), это только устанавливает достаточно компонентов, чтобы загрузить и установить весь SVC. STCIE.EXE также известен как "инсталляционный инструмент реализации". SVC устанавливают путь, находится в кодексе и не конфигурируем. Возможно конфигурируемый инсталляционный путь не является хорошей особенностью SVC. Кроме того, "C:\Documents and Settings\normlee\Local Settings\Temp\Temp8-Fg2e8" является временным магазином SVC, который приобретен от OS и не видим для пользователя. Если существует проблема для этого временного магазина, это - проблема конфигурации OS. Восстановленный от "http://vpnpedia/index.php/SSL_VPN_FAQ".

Q. Является RADIUS с Истечением и MS IAS, поддержанный с SSL VPN Клиент?

A. Нет. RADIUS с Истечением не поддержан для SSL VPN; поддержка этой особенности только доступна в ASA, и нет никаких планов относительно этой особенности, чтобы быть доступными для тока 3K системы.

Q. SVC может сосуществовать с Клиентом Nortel?

A. Проверенный с Версией 4.65 Клиент Nortel с SVC, это хорошо работает.

Лицензирование

Q. У меня есть 10 пользовательских лицензий для SSL VPN на ASA. Как я модернизирую до 100 SSL VPN пользовательскую лицензию?

A. Вы не можете непосредственно модернизировать до 100 пользовательских лицензий от 10 пользовательских лицензий. Необходимо купить 10-25 SSL VPN, тогда 25-50 SSL VPN, и затем 50-100 SSL VPN. При попытке непосредственно модернизировать, это может препятствовать использованию других лицензий также. Обратитесь к Лицензированию информации ( только зарегистрированные клиенты) для получения дополнительной информации.

Услуги

Q. Какие списки контроля доступа (ACLs) делает SSL VPN поддержка Клиента?

A. SSL VPN Клиент поддерживает тип IP ACLs и не WebVPN ACLs. Можно отфильтровать SSL VPN движение Клиента при выборе Фильтров под вкладкой General Group. Это подобно клиентскому программному обеспечению VPN.

Q. Когда я использую SSL VPN Клиент, я могу назначить IP-адреса через DHCP к устройствам?

A. Да, при использовании SSL VPN Клиент, можно получить IP-адреса из сервера DHCP или из местного бассейна адресов, созданных на концентраторе VPN 3000.

Q. SSL VPN Клиент хорошо работает, но не решает имена DNS, почему?

A. При формировании Клиента VPN или клиента PPTP для использования той же самой группы в качестве того из SSL VPN Клиент, гарантируйте предоставление возможности IPsec на группе, где соединяется клиент. Это решает вопрос DNS.

Q. Даже если разделенное туннелирование позволено, отдаленная машина может управлять быть сделанной через SVC?

A. RDP пропускает связь дизайном. Никакие другие приложения дистанционного управления не были проверены.

Q. У SSL VPN клиента (SVC) может быть поддержка особенности истечения пароля?

A. Нет.

Q. Когда знаки неASCII (䬼) присутствуют в имени пользователя или пароле, логин терпит неудачу в SSL VPN. Почему это происходит?

A. Эта проблема происходит из-за ошибки ID CSCso04556 Cisco ( только зарегистрированные клиенты).

Чтобы к работе эта проблема, избегите особенный (неASCII) знаки в имени пользователя и пароле.

Сообщения об ошибках

Q. SSL VPN Клиент не начинает на Windows Vista с Internet Explorer 7, и пользователь получает сообщение об ошибке Installer is downloading Active x....Installer was not able to start SSL VPN client...., почему?

A. Причина:

Ошибка появляется, потому что SSL VPN клиент (SVC) не начинает связь.

Это происходит из-за ActiveX, устанавливают/загружают проблемы на Windows Vista с Microsoft Internet Explorer 7. Windows Vista отправлен с Internet Explorer 7, который имеет полностью новую модель, которая имеет дело с ActiveX. Кроме различий в ActiveX, был переписан сетевой стек, и таблица маршрутизации отличается. Существует несколько других причуд, которые могут затронуть клиента, также.

Резолюция:

SVC не совместим с или поддержанный на Windows Vista с Internet Explorer 7 браузеров на данный момент.

Работа должна использовать поддержанные платформы, такие как Windows XP, с Internet Explorer 7.

Примечание:  SVC поддержан на Windows Vista с Internet Explorer 7 браузеров в версии 8.x ASA и позже.

Q. Пользователи позади Microsoft Proxy получают, "Ни один из протоколов аутентификации, предлагаемых сервером по доверенности, не поддержан". ошибка, когда они соединяют с Концентратором VPN через SSL VPN Клиента, почему?

A. Это сообщение об ошибке обычно означает, что сервер по доверенности формируется для использования механизма идентификации, который не поддержан SSL VPN Клиент. В этом пункте диспетчер локальной сети NT (NTLM) и Основной является единственными протоколами, поддержанными SSL VPN Клиент. Всегда используйте NTLM при использовании сервера По доверенности.

Q. Я получаю сообщение об ошибке The SSL VPN Client was unable to modify the IP forwarding table. An SSL VPN connection will not be established, и VPN не соединяется. Почему это происходит?

A. Эта проблема происходит из-за ошибки ID CSCeh52036 Cisco ( только зарегистрированные клиенты). Обратитесь к ошибке для получения дополнительной информации.

Q. Как вы решаете эти ошибки при попытке изменить объект настройки для SSL VPN в ASDM? "[ERROR] import webvpn customization name1 disk0:/tmpAsdmImportFile1943056207 " "%ERROR: attempt to index field `auth-page' (a nil value)"

A. Это ошибочное поведение наблюдалось и регистрировалось как ошибка ID CSCti42085 Cisco ( только зарегистрированные клиенты). Для решения этой ошибки фиксируйте DfltCustomization XML и затем повторите.

  1. Экспортируйте DfltCustomization.

  2. Ищите <заказ формы> признак и затем для этого списка:

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[500]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>

    Заметьте, что вторичное имя пользователя и вторичный пароль имеют тот же самый идентификатор заказа.

  3. Исправьте это путем изменения входа вторичного пароля в 600.

    <form-order>
          <username><![testuser[200]]></username>
          <secondary-password><![testuser[500]]></secondary-password>
          <secondary-username><![testuser[600]]></secondary-username>
          <internal-password><![testuser[400]]></internal-password>
          <group><![testuser[100]]></group>
          <password><![testuser[300]]></password>
    </form-order>
  4. Импортируйте исправленный файл XML по существующему DfltCustomization.

ASDM должен теперь быть в состоянии переупорядочить Заказ Областей Формы Входа в систему.

Разное

Q. Подлинник логина Windows может быть выполнен, когда связано через SSL VPN Клиент?

A. Это не возможно через SSL VPN Клиент, потому что нет никакого START BEFORE LOGIN, эквивалентный в это время.

Q. Когда я использую SSL VPN Клиент, у меня может быть список серверов идентификации?

A. Да, если первый сервер в списке недостижим, со следующим сервером в списке связываются.

Q. Как я могу избежать предупреждений свидетельства для SVC в Концентраторе?

A. Распределите корень, которому доверяют, концентратора и импортируйте свидетельство Концентратора из известного, корня, которому доверяют.

Q. SSL, набирают повторно более легкий вес, чем IPSec?

A. SSL набирают повторно, не требует RSA crypto или операции DH. Основная тайна, которая использовалась в начальном рукопожатии, объединена с новыми случайными данными от сервера и клиента для производства новых ключей. Обратите внимание на то, что в SSL набирают повторно, все рукопожатия зашифрованы с SSL.

Q. Если ActiveX и Ява искалечены, я не могу выполнить установку SVC через браузер. Я должен получить STCIE.EXE?

A. Если и ActiveX и Ява не обнаруживают на клиенте PC, пользователь направлен к странице портала WebVPN, но только если "Требуют, чтобы не была проверена Cisco SSL VPN Клиент" выбор под параметрами WebVPN для группы интереса. Если этот выбор проверен, перенаправление к странице портала WebVPN не происходит. Нет никакого выбора загрузить устанавливать пакет для SSL VPN Клиент.

Примечание: существует sslclient-win-1.0.0.x.zip файл, который содержит предварительно устанавливать пакет для установки обслуживания Агента SVC (с admin привилегиями) на клиента PC. Это устанавливает процедуру, детализирован в информации о версии. После того, как установленный, это допускает полный SSL VPN пакет Клиента, который будет загружен и установлен, в то время как в non-admin способе с ActiveX/Java загружают механизм, который действительно должен быть позволен на клиенте PC.

Q. Какие привилегии требуются, чтобы присутствовать в пределах IE для обеспечения ActiveX для функционирования?

A. Когда счет "Гостя" создан на клиенте PC, важно определить, с которой, группой что связан счет "Гостя". Чтобы сделать это, щелкните правой кнопкой мыши по My Computer и выберите, Справляются> Местные пользователи и Группы> Пользователи. Выберите пользователя, дважды щелкните и определите, которой, группы что пользователь является членом. Список включает Администраторов, Продвинутых пользователей и Пользователей. Группа пользователей не допускает ActiveX для функционирования, тогда как другие делают.

Q. Если вы хотите, чтобы пользователи установили SSL VPN тоннель на “Корпоративной Машине”, есть ли что-нибудь, что может быть сделано для проверки платформы, прежде чем VPN будет установлен или даже перед идентификацией?

A. Да, используйте Безопасный Рабочий стол Cisco с регистрацией, файлом/мешаниной или цифровым свидетельством для создания этого определения.

Q. Как работают переговоры SSLv3/TLSv1?

A. Переговоры SSLv3/TLSv1 и приемная политика свидетельства являются "стандартным" внедрением Microsoft. Другими словами, SSLv3/TLSv1 использует вложенный файл Microsoft SChannel.dll, и обработка свидетельства является "стандартным" внедрением браузера как частью магазина свидетельства IE, то есть, метод переговоров SSL и обработки свидетельства не изменяется от "поведения" MS по умолчанию.

Q. Когда конфигурируемое сердцебиение было осуществлено и в SVC и в 3K?

A. Когда вы действуете позади Сервера По доверенности Netcache и осуществлены в Выпуске 1.0.1.116 SVC, выпущенном 30 июня 2005, эти DDTSs покрывают изменения, необходимые в SSL VPN Клиент. CSCsb08657 SVC не передает данные, когда это находится позади устройства NAT через сервер CSCsb01423 SVC По доверенности Неустойчивые Завершения, или когда позади Сервера По доверенности Netcache CSCsa97704. Конфигурируемое сердцебиение необходимо для хранения связи по доверенности открытой. Соответствующие изменения, требуемые для головного узла VPN3000, были выпущены как часть 4.7.2. выпуск 21 июня 2005. Если 4.7.2. выпуск (или позже) используется, необходимо модернизировать версию SVC к 1.0.1.116 или позже. CSCei01721 - конфигурируемое сердцебиение необходимо для продолжения связи по доверенности SVC.

Q. Когда авто поддержка полномочия была добавлена к SVC?

A. Это было добавлено как часть DDTS CSCsd05126 в 1.1.0.x выпуск.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 67909