Veelgestelde vragen over VPN-client

Inleiding

In dit document worden veelgestelde vragen over de Cisco VPN Client beantwoord.

Opmerking: Hier zijn de naamgevingsconventies voor de verschillende VPN-clients:

• Alleen Cisco Secure VPN Client versies 1.0 tot en met 1.1a

• Alleen Cisco VPN 3000 Client-versies 2.x

• Alleen Cisco VPN Client 3.x en hoger

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

VPN-clientsoftware downloaden

V. Waar kan ik de Cisco VPN Client-software downloaden?

U moet zich aanmelden en een geldig servicecontract hebben om toegang te krijgen tot de Cisco VPN Client-software. Cisco VPN Client-software kan worden gedownload van de Cisco Download Software (alleen geregistreerde klanten) pagina. Als u geen geldig servicecontract hebt gekoppeld aan uw Cisco.com profiel, kunt u zich niet aanmelden en de VPN-clientsoftware downloaden.

Om een geldig servicecontract te verkrijgen, kunt u:

• Neem contact op met uw Cisco-accountteam als u een directe koopovereenkomst hebt.

• Neem contact op met een Cisco-partner of wederverkoper om een serviceovereenkomst aan te schaffen.

• Gebruik Profielbeheer (alleen geregistreerde klanten) om uw profiel op Cisco.com bij te werken en een serviceovereenkomst aan te vragen.

V. Het downloadgebied van de Cisco VPN-client lijkt leeg te zijn. Waarom?

A. Wanneer u het VPN-clientgebied van het Softwarecentrum bereikt ( alleen geregistreerde klanten), moet u het downloadgebied voor uw gewenste besturingssysteem in het midden van de pagina selecteren.

V. Hoe kan ik de functie Stateful Firewall uitschakelen tijdens de installatie van de Cisco VPN-client?

A. Voor VPN-clientversies vóór 5.0:

Raadpleeg het gedeelte Documentatiewijzigingen van de Release Notes van VPN Client Rel 4.7 voor meer informatie over de twee onderwerpen "MSI gebruiken om de Windows VPN-client te installeren zonder Stateful Firewall" en "InstallShield gebruiken om de Windows VPN-client te installeren zonder Stateful Firewall".

Voor VPN-clientversies na 5.0:

Te beginnen met Cisco VPN Client release 5.0.3.0560, werd een MSI installatie vlag toegevoegd aan de installatie van de gilde in firewall bestanden te voorkomen:

msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1

Raadpleeg de sectie Installatie van firewallbestanden omzeilen wanneer een statische firewall niet vereist is voor meer informatie hierover.

V. Hoe kan ik de installatie van de Cisco VPN-client ongedaan maken of upgraden?

A. Raadpleeg Een VPN-clientversie verwijderen die is geïnstalleerd met MSI Installer voor informatie over hoe u de installatie handmatig kunt verwijderen (InstallShield) en vervolgens de Cisco VPN-clientversie 3.5 en hoger kunt upgraden voor Windows 2000 en Windows XP.

De Cisco VPN Client voor Windows 2000 en Windows XP-software kunnen updates en nieuwe versies veilig automatisch downloaden via een tunnel van een VPN 3000 Concentrator of andere VPN-server die meldingen kan geven. De minimale voorwaarde hiervoor is dat externe gebruikers de VPN-client voor Windows 4.6 of hoger op hun pc's moeten hebben geïnstalleerd om de functie voor automatische updates te kunnen gebruiken.

Met deze functie, autoupdate genaamd, hoeven gebruikers geen oude versie van de software te verwijderen, opnieuw op te starten, de nieuwe versie te installeren en vervolgens opnieuw op te starten. In plaats daarvan stelt een beheerder updates en profielen beschikbaar op een webserver en wanneer een externe gebruiker de VPN-client opstart, detecteert de software dat een download beschikbaar is en krijgt deze automatisch. Raadpleeg Automatische updates beheren en Werken met automatische updates voor meer informatie.

Raadpleeg Update clientsoftware configureren met ASDM voor informatie over het configureren van een clientupdate op een Adaptive Security Appliance uit de Cisco ASA Series 5500.

V. Ik wil de VPN-clients aanpassen voor Vista. Ik realiseer me dat er met de nieuwe VPN-clientversie voor Vista geen bestand is zoals oem.mst. Hoe kunnen we de nieuwe VPN-clientversies (5.x) aanpassen, of waar kan ik dit bestand vinden?

A. Het MST-bestand wordt niet langer geleverd bij de VPN-client, maar u kunt het downloaden van de downloadsoftware ( alleen geregistreerde klanten) pagina:

Bestandsnaam: Leesmij en MST voor installatie op de internationale versie van Windows.

besturingssysteem

V. Biedt Cisco een VPN-client voor Windows Vista?

A. De nieuwe release Cisco VPN Client 5.0.07 ondersteunt Windows Vista op zowel x86 (32-bits) als x64. Raadpleeg de 5.0.07.0240 Release Notes voor meer informatie.

Opmerking: Cisco VPN Client wordt alleen ondersteund bij een schone installatie van Windows Vista, wat betekent dat een upgrade van een Windows-besturingssysteem naar Windows Vista niet wordt ondersteund met de VPN-clientsoftware. U moet de Windows Vista opnieuw installeren en vervolgens de Vista VPN Client-software installeren.

Opmerking: Als u geen geldig servicecontract hebt gekoppeld aan uw Cisco.com-profiel, kunt u zich niet aanmelden en de VPN Client-software downloaden. Zie VPN-clientsoftware downloaden voor meer informatie.

Tip: De Cisco AnyConnect VPN-client is nu beschikbaar voor Windows-besturingssystemen, waaronder Vista 32- en 64-bits. De AnyConnect-client ondersteunt SSL en DTLS. IPsec wordt op dit moment niet ondersteund. Bovendien is AnyConnect alleen beschikbaar voor gebruik met een Cisco Adaptive Security Appliance waarop versie 8.0(2) of hoger wordt uitgevoerd. De client kan ook worden gebruikt in de weblanceringsmodus met IOS-apparaten met versie 12.4(15)T. VPN 3000 wordt niet ondersteund.

De Cisco AnyConnect VPN Client en ASA 8.0 zijn verkrijgbaar bij het Software Center (alleen geregistreerde klanten). Raadpleeg de Release Notes van de Cisco AnyConnect VPN-client voor meer informatie over de AnyConnect-client. Raadpleeg de Release Notes van de Cisco ASA 5500 Series Adaptive Security Appliances voor meer informatie over ASA 8.0.

Opmerking: Als u geen geldig servicecontract hebt gekoppeld aan uw profiel op Cisco.com, kunt u zich niet aanmelden en de AnyConnect VPN Client- of ASA-software downloaden. Zie VPN-clientsoftware downloaden voor meer informatie.

V. Hoe stel ik een PPTP-verbinding in vanaf een Microsoft Windows-pc?

A. Setup is afhankelijk van de versie van Microsoft Windows die u uitvoert. Neem contact op met Microsoft voor specifieke informatie. Hier zijn de installatie-instructies voor enkele van de meest voorkomende versies van Windows:

Windows 95

1. Installeer msdun13.exe.
2. Kies Programma's > Accessoires > Netwerken inbellen.
3. Maak een nieuwe verbinding met de naam "PPTP".
4. Selecteer de VPN-adapter als het apparaat voor de verbinding.
5. Voer het IP-adres van de openbare interface van de switch in en klik op Voltooien.
6. Ga terug naar de verbinding die u zojuist hebt gemaakt, klik met de rechtermuisknop en kies Eigenschappen.
7. Schakel onder Toegestane netwerkprotocollen minimaal het vinkje van netbeui uit.
8. Configureer de instelling Geavanceerde opties:
   1. Laat standaardinstellingen staan zodat de switch en de client automatisch kunnen onderhandelen over de verificatiemethode.
   2. Schakel Vereist versleuteld wachtwoord in om de CHAP-verificatie (Challenge Handshake Authentication Protocol) af te dwingen.
   3. Schakel Vereist gecodeerd wachtwoord in en Vereist gegevenscodering om MS-CHAP-verificatie af te dwingen.

Windows 98

1. Voer de volgende stappen uit om de PPTP-functie te installeren:
   1. Kies Start > Instellingen > Configuratiescherm > Nieuwe hardware toevoegen en klik op Volgende.
   2. Klik op Selecteren uit lijst, kies Netwerkadapter en klik op Volgende.
   3. Kies Microsoft in het linkerdeelvenster en Microsoft VPN Adapter in het rechterdeelvenster.
2. Voer de volgende stappen uit om de PPTP-functie te configureren:
   1. Kies Start > Programma's > Accessoires > Communicatie > Netwerken inbellen.
   2. Klik op Nieuwe verbinding maken en kies Microsoft VPN Adapter voor Selecteer een apparaat. Het VPN Server IP-adres= 3000-tunneleindpunt.
3. Voer deze stappen uit om de pc te wijzigen zodat ook PAP (Password Authentication Protocol) is toegestaan:

   Opmerking: De standaard Windows 98-verificatie is het gebruik van wachtwoordcodering (CHAP of MS-CHAP).

   1. Kies Eigenschappen > Servertypen.
   2. Schakel het selectievakje Vereist versleuteld wachtwoord uit. U kunt in dit gebied gegevenscodering configureren (Microsoft Point-to-Point Encryption [MPPE] of geen MPPE).

Windows 2000

1. Kies Start > Programma's > Accessoires > Communicatie > Netwerk- en inbelverbindingen.
2. Klik op Nieuwe verbinding maken en klik vervolgens op Volgende.
3. Kies Verbinding maken met een privé-netwerk via internet en selecteer een eerdere verbinding (selecteer deze optie niet als u een LAN hebt) en klik op Volgende.
4. Voer de hostnaam of het IP-adres van het tunneleindpunt (3000) in.
5. Als u het type wachtwoord moet wijzigen, kiest u Eigenschappen > Beveiliging voor de verbinding > Geavanceerd. De standaardinstelling is MS-CHAP en MS-CHAP v2 (niet CHAP of PAP). U kunt in dit gebied gegevenscodering (MPPE of geen MPPE) configureren.

Windows NT

Zie PPTP installeren, configureren en gebruiken met Microsoft-clients en -servers.

V. Welke versies van het besturingssysteem ondersteunen de Cisco VPN-client?

A. Ondersteuning voor extra besturingssystemen wordt voortdurend toegevoegd voor de VPN-client. Raadpleeg Systeemvereisten in de release notes voor de VPN-client 5.0.07 om dit te bepalen, of raadpleeg Cisco Hardware en VPN-clients die IPsec/PPTP/L2TP ondersteunen.

Opmerkingen:

• De VPN-client biedt ondersteuning voor dual-processor en dual-core werkstations voor Windows XP en Windows Vista.

• De Windows VPN Client Release 4.8.00.440 was de laatste versie die officieel het Windows 98-besturingssysteem ondersteunde.

• Windows VPN Client Release 4.6.04.0043 was de laatste versie die officieel het Windows NT-besturingssysteem ondersteunde.

• Cisco VPN Client versie 5.0.07 ondersteunt Windows Vista en Windows 7 in zowel de x86 (32-bits) als de x64 (64-bits) versie.

• Cisco VPN Client ondersteunt alleen Windows XP 32-bits, maar Windows XP 64-bits wordt niet ondersteund.

  Opmerking: Windows Vista 32-bits ondersteuning was beschikbaar in alle 5.x releases. Cisco VPN-client versie 5.0.07 voegde de 64-bits ondersteuning toe.

V. Moet ik een beheerder zijn op Windows NT/2000-machines om de VPN-client te laden?

A. Ja, u moet beheerdersbevoegdheden hebben om de VPN-client te installeren op Windows NT en Windows 2000, omdat deze besturingssystemen beheerdersbevoegdheden vereisen om te binden aan de bestaande netwerkstuurprogramma's of om nieuwe netwerkstuurprogramma's te installeren. De VPN client software is netwerksoftware. U moet beheerdersrechten hebben om het te installeren.

V. Kan de Cisco VPN-client werken met Microsoft Internet Connection Sharing (ICS) die op hetzelfde systeem is geïnstalleerd?

A. Nee, de Cisco VPN 3000-client is niet compatibel met Microsoft ICS op hetzelfde systeem. U moet ICS verwijderen voordat u de VPN-client kunt installeren. Raadpleeg ICS uitschakelen bij het voorbereiden van de installatie of upgrade naar Cisco VPN Client 3.5.x op Microsoft Windows XP voor meer informatie.

Hoewel het hebben van de VPN-client en ICS op dezelfde pc niet werkt, werkt deze regeling wel.

V. Mijn VPN-client lijkt alleen verbinding te maken met bepaalde adressen. Ik gebruik Windows XP. Wat moet ik doen?

A. Controleer of de ingebouwde firewall in Windows XP is uitgeschakeld.

V. Is de Cisco VPN-client compatibel met de stateful firewall van Windows XP?

A. Dit probleem is opgelost. Bekijk Cisco Bug ID CSCdx15865 (alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

V. Wanneer ik de VPN-client installeer op Windows XP en Windows 2000, is de interface voor meerdere gebruikers dan uitgeschakeld?

A. De installatie schakelt het welkomstscherm en de snelle gebruikerswisseling uit. Bekijk Cisco Bug ID CSCdu24073 (alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

V. Hoe kan ik de VPN-client voor Linux na uitvoering naar de achtergrond verplaatsen? Als ik een verbinding start, zoals vpnclient connect foo, stap ik in, maar de shell wordt geretourneerd.

A. Typ na het aanmelden:

• ^Z

• BG

V. Wanneer ik de Cisco VPN-client installeer op Windows XP Home Edition, is de taakbalk niet zichtbaar. Hoe maak ik dit ongedaan?

A. Kies Configuratiescherm > Netwerkverbindingen > Netwerkbrug verwijderen om deze instelling aan te passen.

V. Wanneer ik probeer Linux VPN Client te installeren op RedHat 8.0, krijg ik een foutmelding dat de module niet kan worden geladen omdat de module is gecompileerd met GCC 2 en de kernel is gecompileerd met GCC 3.2. Wat moet ik doen?

A. Dit komt omdat de nieuwe release van RedHat een nieuwere versie van de GCC-compiler (3.2+) heeft, waardoor de huidige Cisco VPN-client mislukt. Dit probleem is opgelost en is beschikbaar in Cisco VPN 3.6.2a. Bekijk Cisco Bug ID CSCdy49082 (alleen geregistreerde klanten) in Bug Toolkit voor meer informatie of download de software van het VPN Software Center (alleen geregistreerde klanten).

V. Waarom schakelt de software Fast User Switching uit wanneer ik VPN-client 3.1 installeer op Windows XP?

A. Microsoft schakelt Fast User Switching automatisch uit in Windows XP wanneer een GINA.dll is opgegeven in het register. De Cisco VPN Client installeert de CSgina.dll om de functie "Start Before Login" te implementeren. Als u Fast User Switching nodig hebt, schakelt u de functie "Start Before Login" uit. Geregistreerde gebruikers kunnen meer informatie krijgen in Cisco Bug ID CSCdu24073 (alleen geregistreerde klanten) in Bug Toolkit.

V. Ondersteunt de IPsec VPN-client de functie Start voor aanmelding (SBL) in Windows 7?

A. De SBL-functie wordt niet ondersteund op IPsec VPN-clients in Windows 7. Het wordt ondersteund met de AnyConnect VPN-client.

Foutmeldingen

V. Wanneer ik de Cisco VPN Client 4.x installeer, krijg ik de volgende foutmelding: Waarschuwing 201: Het benodigde VPN-subsysteem is niet beschikbaar. U kunt geen verbinding maken met de externe VPN-server

A. Dit probleem kan worden veroorzaakt door firewallpakketten die op uw VPN-clientcomputer zijn geïnstalleerd. Om deze foutmelding te voorkomen, moet u ervoor zorgen dat er geen firewall- of antivirusprogramma's op uw pc zijn geïnstalleerd of actief zijn op het moment van installatie.

V. Ik heb een upgrade uitgevoerd naar Mac OS X 10.3 (bekend als "Panther"), maar nu geeft mijn Cisco VPN Client 4.x deze foutberichten weer: Beveiligde VPN-verbinding lokaal beëindigd door de client Reden: Kan geen contact opnemen met de beveiligingsgateway

A. U moet UseLegacyIKEPort=0 toevoegen aan het profiel (.pcf-bestand) in de directory /etc/CiscoSystemsVPNclient/Profiles/ voor de Cisco VPN Client 4.x om te werken met Mac OS X 10.3 ("Panther").

V. Wanneer ik probeer de VPN-client te verwijderen, ontvang ik deze foutmelding: Error msg: het verwijderingsbestand is niet gevonden... Wat betekent deze foutmelding en hoe kan ik de verwijdering met succes voltooien?

A. Controleer het netwerkconfiguratiescherm om te controleren of de Deterministic NDIS Extender (DNE) niet is geïnstalleerd. Kies ook Microsoft > Huidige versie > Verwijderen om te controleren of het verwijderingsbestand bestaat. Verwijder het bestand HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5} en probeer de verwijdering opnieuw.

V. Ik kan de VPN-client niet installeren op Windows 2000 Professional. Ik ontvang deze fout: er kon geen installatieondersteuningsbestand worden geïnstalleerd. Een catastrofale mislukking. Wat moet ik doen?

A. Verwijder de toets HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall. Start vervolgens uw computer opnieuw op en installeer de VPN-client opnieuw.

Opmerking: Ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\ en klik op VPN Client om de juiste sleutel voor de Cisco VPN Client-software te vinden onder het pad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<key to be determined>. Bekijk in het rechtervenster het verwijderingspad (onder de kolom Naam). In de bijbehorende kolom Gegevens wordt de waarde van de VPN-clientsleutel weergegeven. Noteer deze sleutel, ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\, selecteer de bepaalde sleutel en verwijder deze.

Raadpleeg Problemen oplossen met initialisatiefouten en raadpleeg Cisco bug ID CSCdv15391 (alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

V. Wanneer ik probeer Linux VPN Client te installeren op RedHat 8.0, krijg ik een foutmelding dat de module niet kan worden geladen omdat de module is gecompileerd met GCC 2 en de kernel is gecompileerd met GCC 3.2. Wat moet ik doen?

A. Dit probleem treedt op omdat de nieuwe release van RedHat een nieuwere versie van de GCC-compiler (3.2+) heeft, waardoor de huidige Cisco VPN-client mislukt. Dit probleem is opgelost en is beschikbaar in Cisco VPN 3.6.2a. Bekijk Cisco bug ID CSCdy49082 ( alleen geregistreerde klanten) in Bug Toolkit voor meer informatie of download de software van het VPN Software Center (alleen geregistreerde klanten).

V. Ik krijg een foutmelding "peer reageert niet meer" wanneer mijn Linux Client 3.5 probeert een IPsec-verbinding tot stand te brengen met een PIX of een VPN 3000 Concentrator. Wat moet ik doen?

A. Het symptoom van dit probleem is dat de Linux-client lijkt te proberen verbinding te maken, maar het krijgt nooit een reactie van het gateway-apparaat.

Het Linux-besturingssysteem heeft een ingebouwde firewall (ipchains) die UDP-poort 500, UDP-poort 1000 en ESP-pakketten (Encapsulating Security Payload) blokkeert. Aangezien de firewall standaard is ingeschakeld, moet u de firewall uitschakelen of de poorten openen voor IPsec-communicatie voor zowel inkomende als uitgaande verbindingen om het probleem op te lossen.

Vraag Ik ontvang een fout in de kernel-extensie wanneer ik probeer Cisco VPN 5000 5.2.2 Client uit te voeren op Mac OS X 10.3. Wat moet ik doen?

A. Zoals vermeld in de opmerkingen bij de release van het product, wordt de Cisco VPN 5000-client ondersteund tot versie 10.1.x en wordt deze daarom niet ondersteund op versie 10.3. Het is mogelijk om de VPN-client te laten werken wanneer u de rechten op twee van de geïnstalleerde bestanden reset nadat u het installatiescript hebt uitgevoerd. Hierna volgt een voorbeeld:

Opmerking: Deze configuratie wordt niet ondersteund door Cisco.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

V. Ik kan de nieuwe versie van de Cisco VPN-client niet installeren. Wanneer ik installeer, ontvang ik een van deze foutmeldingen: "Fout DNEinst uitvoeringsfout tijdens installatie DNE, retourcode -2146500093" of "InstallDNE Fout: DNEinst uitvoeringsfout tijdens installatie DNE, retourcode -2147024891." Dit probleem treedt op wanneer ik de Deterministic Network Enhancer heb geïnstalleerd.

A. Installeer de nieuwste DNE-upgrade van Deterministic Networksen installeer deze.

V. Ik krijg deze logs voor de Cisco VPN-client wanneer ik een verbinding maak:

208    15:09:08.619  01/17/08  Sev=Debug/7	CVPND/0x63400015
Value for ini parameter VAEnableAlt is 1.

209    15:09:08.619  01/17/08  Sev=Warning/2	CVPND/0xE3400003
Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558)

210    15:09:08.619  01/17/08  Sev=Warning/3	CVPND/0xE340000C
The Client was unable to enable the Virtual Adapter because it could not open the device.

A. Het is een vrij generieke foutmelding, die meestal vereist handmatige verwijdering van de client. Volg de instructies in deze link. Een VPN-clientversie verwijderen die is geïnstalleerd met MSI Installer.

Zodra u de verwijdering hebt gedaan, zorg ervoor dat u opnieuw opstarten. Installeer vervolgens de client opnieuw. Zorg ervoor dat u bent aangemeld als gebruiker met beheerdersrechten op het lokale systeem.

V. Wanneer ik probeer verbinding te maken met de Cisco VPN-client op een Mac OS, ontvang ik dit foutbericht: Fout 51- Kan niet communiceren met het VPN-subsysteem. Hoe kan ik dit probleem oplossen?

A. Het probleem kan worden opgelost als u de service opnieuw start nadat u de VPN-client op deze manier hebt gesloten:

Stoppen:

sudo kextunload -b com.cisco.nke.ipsec

Om te beginnen:

sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPN

Controleer ook of het volgende wordt uitgevoerd op hetzelfde systeem waarop de VPN-client is geïnstalleerd en schakel hetzelfde uit.

• Alle virtuele software (zoals VMware, Fusions, Parallels, crossovers).

• Alle antivirus-/firewallsoftware.

• Compatibiliteit van de VPN-client met het 64-bits besturingssysteem; raadpleeg de Cisco VPN Client Release Notes.

V. Ik krijg de foutmelding "Reden 442: de virtuele adapter is niet ingeschakeld". Hoe kan ik deze fout oplossen?

A. De reden 442: de fout met de virtuele adapter is niet ingeschakeld, wordt weergegeven nadat Vista meldt dat een duplicaat-IP-adres is gedetecteerd. Latere verbindingen mislukken met hetzelfde bericht, maar Vista meldt niet dat een dubbel IP-adres wordt gedetecteerd. Raadpleeg Fout 442 bij duplicaat-IP-adrestriggers in Windows Vista voor meer informatie over het oplossen van dit probleem.

V. Wanneer ik de Cisco VPN-client installeer, wordt de fout Deterministic Network Enhancer Add Plugin Failed ontvangen. Hoe wordt deze fout opgelost?

A. Het installeren van de DNE-adapter kan het probleem oplossen. Het is beter om de InstallShield versie te gebruiken voor installatie in plaats van MSI.

V. Ik heb deze fout ontvangen: Reden 442: de virtuele adapter is niet ingeschakeld. Hoe kan ik dit probleem oplossen?

A. Deze fout wordt weergegeven nadat Windows 7 en Windows Vista een dubbel IP-adres hebben gedetecteerd. Latere verbindingen mislukken met hetzelfde bericht, maar het besturingssysteem meldt niet dat het dubbele IP-adres wordt gedetecteerd. Raadpleeg Fout 442 bij duplicaat-IP-adrestriggers in Windows 7 en Vista voor meer informatie over het oplossen van dit probleem.

V. Wanneer ik probeer de VPN-client 4.9 voor MAC OS 10.6 te starten, ontvang ik deze fout: Fout 51: Kan niet communiceren met het VPN-subsysteem. Hoe dit probleem op te lossen?

A. Dit probleem treedt op omdat 64-bits ondersteuning niet beschikbaar is met Cisco VPN-client voor MAC OS versie 4.9. Als tijdelijke oplossing kunt u opstarten in de 32-bits kernelmodus. Raadpleeg Cisco Bug ID CSCth11092 (alleen geregistreerde klanten) en Cisco VPN Client for MAC OSX release notes voor meer informatie.

Compatibiliteit met derden

V. Is de Nortel Client compatibel met de Cisco VPN 3000 Concentrators?

A. Nee. De Nortel-client kan geen verbinding maken met de Cisco VPN 3000 Concentrator.

V. Kan ik VPN-clients van andere leveranciers, zoals de Nortel Contivity VPN-client, gelijktijdig met de Cisco VPN-client laten installeren?

A. Nee. Er zijn bekende problemen wanneer meerdere VPN-clients op dezelfde pc zijn geïnstalleerd.

V. Worden Cisco VPN-clients ondersteund met VPN-concentrators van derden?

A. VPN-clients van Cisco worden niet ondersteund door VPN-concentrators van derden.

Verificatie

V. Hoe slaan Cisco VPN Clients versies 1.1 en 3.x intern digitale certificaten (X.509v3) op?

A. De Cisco VPN Client 1.1 heeft een eigen certificaatarchief. De Cisco VPN Client 3.x kan certificaten opslaan in de Microsoft Store met behulp van Common-Application Programming Interface (CAPI), of het kan ze opslaan in Cisco's eigen winkel (RSA Data Security).

V. Kan ik dezelfde groepsnaam en gebruikersnaam hebben op de VPN-concentrator?

A. Nee, groepsnaam en gebruikersnaam kunnen niet hetzelfde zijn. Dit is een bekend probleem, gevonden in softwareversies 2.5.2 en 3.0, en geïntegreerd in 3.1.2. Bekijk Cisco bug ID CSCdw29034 (alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

V. Worden kaarten met volledige uitdaging, zoals de Defender, ondersteund op de Cisco VPN Client naar PIX?

A. Nee, kaarten van dit type worden niet ondersteund.

Versie VPN-clientsoftware

V. Wat is er gebeurd met de optie "MTU-hulpprogramma instellen" in de Cisco VPN Client-versies 2.5.2 en eerder?

A. De Cisco VPN Client past nu de grootte van de Maximum Transmission Unit (MTU) aan. De optie MTU-hulpprogramma instellen is niet langer een vereiste installatiestap. De optie MTU instellen wordt voornamelijk gebruikt voor het oplossen van verbindingsproblemen. Het pad voor het selecteren van de SetMTU-optie voor een Windows-systeem is Start > Programma's > Cisco Systems VPN Client > SetMTU. Raadpleeg voor meer informatie over de SetMTU-optie en het instellen van deze optie in andere besturingssystemen de optie MTU-grootte wijzigen via SetMTU.

V. Welke talen worden ondersteund op de Cisco VPN Client GUI-versies later dan 4.0?

A. De talen die worden ondersteund op de Cisco VPN Client GUI-versies later dan 4.0 zijn Canadees, Frans en Japans.

V. Welke persoonlijke firewalls worden ondersteund met de Cisco VPN-client?

A. Om een hoger beveiligingsniveau te bieden, kan de VPN-client de werking van een ondersteunde firewall afdwingen of een gepusht stateful firewall-beleid voor internetverkeer ontvangen.

Momenteel ondersteunt de VPN Client 5.0 de volgende persoonlijke firewalls:

• BlackIce Defender

• Cisco Security Agent

• Sygate Personal Firewall

• Sygate Personal Firewall Pro

• Sygate Security Agent

• ZoneAlarm

• ZoneAlarmPro

Vanaf versie 3.1 wordt een nieuwe functie toegevoegd aan de VPN 3000 Concentrator die detecteert welke persoonlijke firewallsoftware externe gebruikers hebben geïnstalleerd en voorkomt dat de gebruikers verbinding maken zonder de juiste software. Kies Configuratie > Gebruikersbeheer > Groepen > Client FW en klik op het tabblad voor de groep om deze functie te configureren

Raadpleeg Configuratiescenario's van de firewall voor meer informatie over de handhaving van het firewallbeleid op een Cisco VPN-clientsysteem.

V. Zijn er verbindingsproblemen bij het gebruik van de Cisco VPN Client 3.x met AOL 7.0?

A. De Cisco VPN Client werkt niet met AOL 7.0 zonder het gebruik van split tunneling. Bekijk Cisco bug ID CSCdx04842 ( alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

Configuratie van VPN-clientsoftware

V. Waarom verbreekt de Cisco VPN-client de verbinding na 30 minuten? Kan ik deze periode verlengen?

A. Als er gedurende deze periode van 30 minuten geen communicatieactiviteit is op een gebruikersverbinding, wordt de verbinding beëindigd. De standaardinstelling voor de time-out bij inactiviteit is 30 minuten, met een minimaal toegestane waarde van 1 minuut en een maximaal toegestane waarde van 2.147.483.647 minuten (meer dan 4.000 jaar).

Kies Configuratie > Gebruikersbeheer > Groepen en kies de juiste groepsnaam om de instelling voor time-out bij inactiviteit te wijzigen. Kies Groep wijzigen, klik op het tabblad HW-client en typ de gewenste waarde in het veld Time-out voor inactieve gebruikers. Typ 0 om time-out uit te schakelen en een onbeperkte inactieve periode toe te staan.

V. Kan de Cisco VPN-client worden geïmplementeerd met alle vooraf geconfigureerde parameters?

A. Als het vpnclient.ini-bestand wordt meegeleverd met de VPN-clientsoftware wanneer deze voor het eerst wordt geïnstalleerd, wordt de VPN-client automatisch geconfigureerd tijdens de installatie. U kunt de profielbestanden (één .pcf-bestand voor elk verbindingsitem) ook distribueren als vooraf geconfigureerde verbindingsprofielen voor automatische configuratie. Voer de volgende stappen uit om vooraf geconfigureerde kopieën van de VPN-clientsoftware te distribueren naar gebruikers voor installatie:

1. Kopieer de VPN Client-softwarebestanden van de distributie-cd-rom naar elke directory waarin u een vpnclient.ini-bestand (global) en afzonderlijke verbindingsprofielen voor een reeks gebruikers hebt gemaakt.

   Opmerking: Voor het Mac OS X-platform worden vooraf geconfigureerde bestanden in de mappen Profielen en bronnen geplaatst voordat de VPN-client wordt geïnstalleerd. Het bestand vpnclient.ini wordt in de installatiedirectory geplaatst. U moet aangepaste vpnclient.ini-bestanden in de map VPN Client Installer op hetzelfde niveau plaatsen als de mappen Profielen en bronnen. Zie Hoofdstuk 2 van de VPN Client User Guide voor Mac OS X voor meer informatie

2. Voorbereiden en distribueren van de gebundelde software. CD-ROM of netwerkdistributie. Zorg ervoor dat het bestand vpnclient.ini en de profielbestanden zich in dezelfde map bevinden met alle afbeeldingsbestanden op de cd-rom. U kunt gebruikers installeren vanuit deze directory via een netwerkverbinding; of u kunt alle bestanden kopiëren naar een nieuwe cd-rom voor distributie; of u kunt een zelfuitpakkend ZIP-bestand maken dat alle bestanden uit deze directory bevat, en gebruikers het laten downloaden en vervolgens de software installeren.

3. Gebruikers alle andere benodigde configuratie-informatie en instructies geven. Zie Hoofdstuk 2 van de Gebruikershandleiding VPN-client voor uw platform.

V. Het lijkt erop dat de Cisco VPN-client een conflict heeft met mijn NIC-kaart. Hoe moet ik dit oplossen?

A. Zorg ervoor dat u de nieuwste stuurprogramma's op de NIC-kaart uitvoert. Dit wordt altijd aanbevolen. Test indien mogelijk of het probleem specifiek is voor het besturingssysteem, de pc-hardware en andere NIC-kaarten.

V. Hoe automatiseer ik de Cisco VPN-clientverbinding via inbelnetwerken?

A. Kies Opties > Eigenschappen > Verbindingen, en laat de Cisco VPN Client een inbelnetwerkboekje openen om de inbelverbinding met de VPN-verbinding volledig te automatiseren.

V. Hoe configureer ik de Cisco VPN 3000 Concentrator om externe gebruikers op de hoogte te stellen van een VPN-clientupdate?

A. U kunt VPN Client-gebruikers laten weten wanneer het tijd is om de VPN Client-software op hun externe systemen bij te werken. Raadpleeg Externe gebruikers op de hoogte brengen van een clientupdate voor een stapsgewijze aanpak. Zorg ervoor dat u de release-informatie typt als "(Rel)", zoals vermeld in stap 7 van het proces.

V. Wat kan een vertraging veroorzaken voordat de Cisco VPN-client wordt weergegeven, met name wanneer de optie "Starten vóór aanmelding" is ingeschakeld?

A. De Cisco VPN-client bevindt zich in de fall back-modus. Dit draagt bij aan de vertraging. In de fallback-modus voert de VPN-client anders uit wanneer wordt gestart voordat de aanmelding in gebruik is. Wanneer de VPN-client in de fallback-modus werkt, controleert deze niet of de benodigde Windows-services zijn gestart. Als gevolg hiervan kan de VPN-verbinding mislukken als deze te snel wordt gestart.Verwijder de Cisco VPN-client en verwijder de aanstootgevende toepassingen om opstarten mogelijk te maken zonder in de "fall back" -modus te staan. Installeer vervolgens de Cisco VPN-client opnieuw. Raadpleeg Starten vóór aanmelding voor meer informatie over de terugvalmodus.

Bekijk Cisco bug ID's CSCdt88922 ( alleen geregistreerde klanten) en CSCdt55739 ( alleen geregistreerde klanten) in Bug Toolkit voor meer informatie.

V. Ik moet het verschil begrijpen tussen ipsecdialer.exe en vpngui.exe. Waarom is vpngui.exe geïnstalleerd in STARTUP in mijn Windows XP, maar ik moet nog steeds handmatig ipsecdialer starten om mijn bedrijfsmiddelen te bereiken? En (afgezien van de grootte) lijken deze programma's hetzelfde te triggeren: een VPN-aanmelding bij mijn bedrijfsnetwerk.

A. Het ipsecdialer.exe was het oorspronkelijke lanceermechanisme voor de Cisco VPN Client versie 3.x. Toen de GUI werd gewijzigd in de 4.x-versies, werd een nieuw uitvoerbaar bestand gemaakt met de naam vpngui.exe. Het bestand ipsecdialer.exe werd alleen in naam overgedragen voor achterwaartse compatibiliteit en start zojuist het vpngui.exe. Dit is de reden waarom je het verschil in de bestandsgrootte kon zien.

Dus wanneer u downgrade van versie 4.x naar versie 3.x van de Cisco VPN Client, hebt u het bestand ipsecdialer.exe nodig om dit te starten.

V. Kan ik het opstartpictogram van VPN veilig verwijderen? Waarom is het nodig?

A. De Cisco VPN-client in de opstartmap ondersteunt de functie "Starten vóór aanmelding". Als u de functie niet gebruikt, hebt u deze niet nodig in de opstartmap.

V. Waarom wordt "user_logon" toegevoegd en niet bij de snelkoppeling ipsecdialer.exe? Wat is het doel van "gebruikersaanmelding"?

A. Voor de functie "Starten vóór aanmelding" is de optie "user_logon" vereist, maar een normale start van de Cisco VPN-client door de gebruiker heeft dit niet nodig.

NAT/PAT-problemen

V. Ik heb problemen met slechts één VPN-client (voor releases 3.3 en eerder) die verbinding kan maken via een PAT-apparaat (Port Address Translation). Wat kan ik doen om dit probleem te verlichten?

A. Er was een fout in verschillende NAT-/PAT-implementaties (Network Address Translation) waardoor poorten van minder dan 1024 niet konden worden vertaald. Op de Cisco VPN Client 3.1, zelfs met NAT transparantie ingeschakeld, de Internet Security Association en Key Management Protocol (ISAKMP) sessie maakt gebruik van UDP 512. De eerste VPN-client gaat via het PAT-apparaat en houdt bronpoort 512 aan de buitenkant. Wanneer de tweede VPN-client verbinding maakt, is poort 512 al in gebruik. De poging mislukt.

Er zijn drie mogelijke workarounds.

• Repareer het PAT-apparaat.

• Upgrade de VPN-clients naar 3.4 en gebruik TCP-inkapseling.

• Installeer een VPN 3002 die alle VPN-clients vervangt.

V. Kunnen twee laptops vanaf dezelfde locatie worden verbonden met de Cisco VPN-client?

A. Twee clients kunnen vanaf dezelfde locatie verbinding maken met hetzelfde head-end zolang de clients niet beide achter een apparaat zitten dat PAT uitvoert, zoals een SOHO-router/firewall. Veel PAT-apparaten kunnen een VPN-verbinding toewijzen aan een client erachter, maar niet twee. Om ervoor te zorgen dat twee VPN-clients verbinding kunnen maken vanaf dezelfde locatie achter een PAT-apparaat, moet u een soort inkapseling inschakelen, zoals NAT-T, IPSec over UDP of IPsec over TCP aan het uiteinde. Over het algemeen moet NAT-T of een andere inkapseling worden ingeschakeld als EEN NAT-apparaat zich tussen de client en het hoofdeinde bevindt.

Diversen

V. Wanneer ik verbinding maak met het netwerk op kantoor met mijn laptop en de laptop vervolgens mee naar huis neem, heb ik problemen met het maken van een verbinding met de VPN 3000 Concentrator vanuit huis. Wat is het probleem?

A. Het is mogelijk dat de routeringsinformatie van de netwerkverbinding op de laptop wordt bewaard. Raadpleeg VPN-clients met Microsoft Routing Problems voor informatie over het oplossen van dit probleem.

V. Hoe kan ik zien of een VPN-client is verbonden met de VPN-concentrator?

A. Controleer de registersleutel HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished. Als een tunnel actief is, is de waarde 1. Als er geen tunnel aanwezig is, is de waarde 0.

V. Ik heb problemen met de NetMeeting-verbinding van een pc achter een VPN Concentrator naar een VPN-client, maar de verbinding werkt wanneer ik van de pc naar een VPN-client achter een VPN Concentrator loop. Hoe kan ik dit oplossen?

A. Volg de stappen die hier worden vermeld om de verbindingsinstellingen te beheren:

• Kies op het hoofdstation van de pc Programmabestanden > Cisco-systemen > VPN-client > Profielen. Klik met de rechtermuisknop op het profiel dat u gebruikt en kies Openen met om het profiel te openen in een teksteditor (zoals Kladblok). (Wanneer u het programma kiest dat u wilt gebruiken, schakelt u het selectievakje uit met de tekst Altijd dit programma gebruiken om deze bestanden te openen.) Zoek de profielparameter voor ForcekeepAlives en wijzig de waarde van 0 in 1 en sla het profiel vervolgens op.

  of

• Kies voor de VPN-client Opties > Eigenschappen > Algemeen en voer een waarde in voor de time-out "Peer response", zoals weergegeven in dit voorbeeldvenster. U kunt een time-outgevoeligheid van 30 seconden tot 480 seconden opgeven.

  of

• Kies voor de VPN-concentrator Configuratie > Gebruikersbeheer > Groepen > Groepen wijzigen. Kies op het tabblad IPsec de optie voor IKE Keepalives, zoals weergegeven in dit voorbeeldvenster.

Het Dead Peer Detection (DPD)-interval varieert op basis van de gevoeligheidsinstelling. Zodra een antwoord niet is ontvangen, gaat het naar een agressievere modus en verzendt het elke vijf seconden pakketten totdat de peer-responsdrempel is bereikt. Op dat moment is de verbinding verbroken. U kunt de keepalives uitschakelen, maar als uw verbinding daadwerkelijk uitvalt, moet u wachten op de time-out. Cisco raadt u aan om de gevoeligheidswaarde in eerste instantie zeer laag in te stellen.

V. Ondersteunt de Cisco VPN Client dubbele verificatie?

A. Nee. Dubbele verificatie wordt niet ondersteund op de Cisco VPN-client.

V. Hoe kan ik de Cisco VPN-client configureren om verbinding te maken in de hoofdmodus in plaats van in de agressieve modus?

A. U moet digitale handtekeningen (certificaten) gebruiken om Cisco VPN Client in hoofdmodus verbinding te laten maken. Er zijn twee methoden om dit te bereiken:

1. CA-certificaten verkrijgen van de externe certificaatprovider (bijvoorbeeld Verisign of Entrust) op de router en alle Cisco VPN-clients. Meld de identiteitscertificaten van dezelfde CA-server aan en gebruik digitale handtekeningen als een manier om te verifiëren tussen de Cisco VPN-client en de router. Raadpleeg IPSec configureren tussen Cisco IOS-routers en Cisco VPN-client met behulp van vertrouwenscertificaten voor meer informatie over deze configuratie.

2. De tweede optie is om de router te configureren als de CA-server, samen met het hoofdgedeelte van de VPN voor externe toegang. Het installeren van de certificaten (en al het andere) blijft zoals beschreven in de vorige link, behalve dat de router zich gedraagt als een CA-server. Raadpleeg voor meer informatie Dynamische LAN-naar-LAN VPN tussen Cisco IOS-routers die IOS CA gebruiken in het voorbeeld Hub Configuration.

V. Hoe kan ik ervoor zorgen dat de vereiste parameters in het VPN-clienttoegangsbestand alleen worden gelezen?

A. Voeg voor elke gebruiker een uitroepteken (!) toe aan de voorkant van elke parameter in het .pcf-bestand om de parameter alleen-lezen te maken.

De waarden voor parameters die beginnen met een uitroepteken (!) kunnen niet worden gewijzigd door de gebruiker in de VPN-client. De velden voor deze waarden in de GUI worden grijs weergegeven (alleen-lezen).

Hier volgt een voorbeeldconfiguratie:

Origineel .pcf-bestand

[main] 

Description=connection to TechPubs server

Host=10.10.99.30 

AuthType=1 

GroupName=docusers 

GroupPwd= 

enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85
              1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF

EnableISPConnect=0 

ISPConnectType=0 

ISPConnect= 

ISPCommand= 

Username=alice

Gewijzigd .pcf-bestand

[main] 

!Description=connection to TechPubs server 

!Host=10.10.99.30 

AuthType=1 

!GroupName=docusers 

GroupPwd= 

enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C
          851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF

EnableISPConnect=0 

ISPConnectType=0 

ISPConnect= 

ISPCommand= 

!Username=alice

In dit voorbeeld kan de gebruiker de waarden Description, Host, GroupName en Username niet wijzigen.

V. Is het mogelijk om de toegang voor VPN-clients te beperken op basis van MAC-adressen?

A. Nee. Het is niet mogelijk om de toegang voor VPN-clients te beperken op basis van MAC-adressen.

Gerelateerde informatie

• Cisco VPN 3000-clientondersteuningspagina
• Cisco VPN Client Support-pagina
• Meest voorkomende L2L- en Remote Access IPSec VPN-oplossingen voor probleemoplossing
• Technische ondersteuning en documentatie – Cisco Systems