VPN Client のインストール

次のコマンドを実行します。

sudo /usr/local/bin/vpn_uninstall

すべてのプロファイルと証明書の削除を確認するプロンプトが表示されます。

• YES を選択すると、バイナリ ファイル、起動スクリプト、証明書、プロファイル、およびインストール中に作成されたディレクトリがすべて削除されます。
• NO を選択すると、バイナリ ファイルと起動スクリプトがすべて削除されます。ただし、証明書、プロファイル、および vpnclient.ini ファイルは削除されません。

ファイアウォールについて

ipchains や iptables などの Linux ファイアウォールを実行している場合は、次のトラフィックのパススルーが許されていることを確認してください。

• UDP ポート 500
• UDP ポート 10000（または IPSec/UDP に使用されているポート番号）
• IP プロトコル 50（ESP）
• IPSec/TCP に設定されている TCP ポート
• NAT-T（標準準拠の NAT 透過性）ポート 4500

トラブルシューティングのヒント

Linux でのインストールの場合、次に示す 2 行 が /etc/sysconfig/ipchains ディレクトリにデフォルトで追加されることがあります。Red Hat では、/etc/sysconfig/ipchains ディレクトリに追加されます。これらの 2 つのコマンドは、UDP トラフィックのパススルーを回避する場合があります。

-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT

-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT

UDP トラフィックに障害がある場合は、次のいずれかの方法を試してください。

• 上記の 2 つの REJECT 行を削除してから、次の 2 つのコマンドを入力します。

/etc/init.d/ipch ains stop

/etc/init.d/ipchains start

ipchains は iptables に置き換えられる場合があります。または、Linux ディストリビューションの別のディレクトリに置かれる場合があります。

• 次の規則をデフォルトの ipchains ファイアウォール構成に追加するか、上記の UDP の REJECT 行のいずれかに追加します。

-A input -p udp -s 0/0 -d 0/0 500 -j ACCEPT

この規則により、VPN Client の接続に必要な UDP ポート 500 を使用できるようになります。

カーネル バージョン の変更

32 ビット版または 64 ビット版のカーネルを実行する VPN Client（32 ビット モードまたは 64 ビット モード）をインストールできます。いずれかのモードで VPN Client をインストールまたは実行する際に問題が発生した場合は、もう一方のモードを試してください。

どのモードでシステムが動作しているかを確認するには、次のコマンドを入力します。

isainfo -kv

cipsec モジュールが正常にロードされている場合、dmesg ログに次のようなメッセージが表示されます。

Oct 29 11:09:54 sol-2062 cipsec:[ID 952494 kern.notice] Cisco Unity IPSec Module Load OK

dmesg ログに cipsec ログ メッセージが表示されない場合は、もう一方のモードに切り替える必要があります。

32 ビット モードに切り替える手順は、次のとおりです。

• 一時的に切り替えるには、次のコマンドを入力します（ok はシステム プロンプトを表しています）。

ok boot kernel/unix

• 永続的に切り替えるには、root として次のコマンドを入力し、コンピュータを再起動します。

eeprom boot-file=/platform/sun4u/kernel/unix

64 ビット モードに切り替える手順は、次のとおりです。

• 一時的に切り替えるには、次のコマンドを入力します（ok はシステム プロンプトを表しています）。

ok boot kernel/sparcv9/unix

• 永続的に切り替えるには、root として次のコマンドを入力し、コンピュータを再起動します。

eeprom boot-file=/platform/sun4u/kernel/sparcv9/unix

インストール スクリプトを実行するためにスーパーユーザ権限を取得します。

次のコマンドを入力します。

cd vpnclient

./vpn_install

バイナリ、カーネル、VPN モジュール、およびプロファイルのデフォルト ディレクトリが、インストール中に表示されます。

インストール中に次のプロンプトが表示されます。

• Directory where binaries will be installed [/lib/modules/ /build/]（バイナリがインストールされるディレクトリ [/lib/modules/ <カーネルのバージョン>/build/]）
• Automatically start the VPN service at boot time [yes]（ブート時の VPN サービスの自動起動 [yes]）
• Directory containing linux kernel source code [/usr/src/linux]（Linux カーネルのソース コードを含むディレクトリ [/usr/src/linux]）
• Is the above correct [y]（以上の入力内容で正しいですか [y]）

[Enter] キーを押してデフォルトの入力内容を選択します。ディレクトリの選択時にデフォルトのディレクトリを選択しない場合、別のディレクトリをユーザのパスに入力する必要があります。

インストーラがこれらの設定を自動的に検出できない場合は、次のプロンプトが表示されます。

• Directory containing init scripts:（init スクリプトを含むディレクトリ）
• これは、ブート時に実行されるスクリプトが保存されるディレクトリです。通常、このディレクトリは /etc/init.d または /etc/rc.d/init.d です。
• Directory containing run level directories (rcX.d):（実行レベルのディレクトリ（rcX.d）を含むディレクトリ）
• これは、init の実行レベルのディレクトリを含むディレクトリです。通常、このディレクトリは /etc または /etc/rc.d です。

次のいずれかの方法で、VPN サービスを有効にします。

• コンピュータを再起動します。
• コンピュータを再起動しないでサービスを有効にするには、次のコマンドを入力します。

/etc/rc.d/init.d/vpnclient_init start

カーネル ソースの要件

VPN Client をインストールするには、システムで実行されているカーネルの構築に使用されたカーネル ソースが必要です。Linux ディストリビューションで提供されたカーネル、またはカスタム ビルド カーネルをシステムで使用している場合は、次のように、カーネル コードをそれぞれ異なる方法で入手できます。

• ディストリビューションで提供されたカーネルが実行されている場合：対応するカーネル ソース rpm をインストールする必要があります。vpn_install スクリプトによりカーネル ソースが自動検出される必要があります。
• カスタム ビルド カーネルが実行されている場合：実行されているカーネルの構築に使用したものと同じカーネル ソースのコーピーを使用する必要があります。ただし、使用しているバージョンのカーネルのソース コードを解凍するだけでは不十分です。カーネルがコンパイルされるときには、VPN Client が使用するいくつかのファイルが生成されます。これらのファイルは、実行されているカーネルと正確に一致していなければなりません。一致していないと、VPN Client のインストールが失敗します。

ワークステーションのカーネルにパッチをインストールする場合は、これらのガイドラインに従って VPN Client を再インストールする必要があります。

VPN Client Linux 版 インストール スクリプトについて

インストール中に、次の処理が行われます。

1. モジュールは、コンパイルとリンクが行われ、/lib/modules/preferred/CiscoVPN ディレクトリ（存在する場合）、または /lib/modules/system/CiscoVPN にコピーされます。ここでの system は、カーネル バージョンを表します。
2. アプリケーション バイナリは、指定されたディレクトリにコピーされます。
3. VPN サービスを有効または無効にする起動ファイル /etc/rc.d/init.d/vpnclient_init が作成されます。
4. /etc/rc3.d/s85vpnclient リンクおよび etc/rc5.d/s85vpnclient リンクが追加され、ブート時に起動が要求された場合にレベル 3 およびレベル 5 で実行されます。

これらのリンクにより、トンネル サーバがブート時に起動し、レベル 3 およびレベル 5 で実行されます。

インストール スクリプトを実行するためにスーパーユーザ権限を取得します。

次のコマンドを入力します。

pkgadd -d . vpnclient

バイナリ、カーネル、VPN モジュール、およびプロファイルのデフォルト ディレクトリが、インストール中に表示されます。

インストール中に次のプロンプトが表示されます。

• Directory where binaries will be installed [/usr/local/bin]（バイナリがインストールされるディレクトリ [/usr/local/bin]）
• Is the above correct [y]（以上の入力内容で正しいですか [y]）
• インストーラで VPN Client と別のアプリケーションとの競合が見つかった場合、次のメッセージが表示されます。

The following files are already installed on the system and are being used by another package: Do you want to install these conflicting files [y,n,?,q]（次のファイルはすでにシステムにインストールされ、別のパッケージにより使用されています： <表示されているファイル>これらの競合ファイルをインストールしますか [y,n,?,q]）

• The following files are being installed with setuid and/or setgid permissions: Do you want to install these as setuid/setgid files [y,n,?,q]（次のファイルが setuid と setgid の権限でインストールされます： <表示されているファイル>これらのファイルを setuid/setgid ファイルとしてインストールしますか [y,n,?,q]）
• This package contains scripts which will be executed with super-user permission during the process of installing this package.（このパッケージには、パッケージのインストール中にスーパーユーザ権限で実行されるスクリプトが含まれています。）Do you want to continue with the installation of [y,n,?]（ のインストールを続行しますか [y,n,?]）

[Enter]キーを押してデフォルトの入力内容を選択します。ディレクトリの選択時にデフォルトのディレクトリを選択しない場合、別のディレクトリをユーザのパスに入力する必要があります。

コンピュータを再起動します。

VPN Client Solaris 版インストール スクリプトについて

インストール中に、次の処理が行われます。

1. 次の行が /etc/iu.ap ファイルに追加され、起動時に自動プッシュ機能が有効になります。

<dev_name> -1 0 cipsec

ここでの dev_name は後続の数字が付いていないインターフェイスの名前です（例：ipdtp、le、hme）。検出されたサポートされているネットワーク装置ごとに 1 行追加されます。

1. VPN モジュールが /kernel/strmod ディレクトリ（システムのモジュール検索パス内）にコピーされます。

pkginfo コマンドを実行すると、インストールされているパッケージの情報が表示されます。パッケージに関連するその他のコマンドの情報を表示するには、次のコマンドを入力します。

man pkgadd