Perguntas frequentes do VPN Client

Introdução

Este documento responde a perguntas frequentes sobre o Cisco VPN Client.

Observação: estas são as convenções de nomenclatura para os vários clientes VPN:

• Cisco Secure VPN Client versões 1.0 a 1.1a somente

• Cisco VPN 3000 Client versões 2.x somente

• Cisco VPN Client 3.x e posteriores somente

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Download do Software do VPN Client

P. Onde posso baixar o software Cisco VPN Client?

R. Você deve fazer login e possuir um contrato de serviço válido para acessar o software Cisco VPN Client. O software Cisco VPN Client pode ser baixado na página Download Software da Cisco ( somente clientes registrados). Se você não possuir um contrato de serviço válido associado ao seu perfil do Cisco.com, você não poderá iniciar sessão e baixar o software do VPN Client.

Para obter um contrato de serviço válido, você pode:

• Entre em contato com sua Equipe de Conta da Cisco se possuir um contrato de compra direta.

• Entre em contato com um parceiro ou revendedor da Cisco para adquirir um contato de serviço.

• Use o Profile Manager (somente clientes registrados) para atualizar seu perfil do Cisco.com e solicitar a associação a um contrato de prestação de serviços.

Q. A área de download do Cisco VPN Client parece estar vazia. Por quê?

R. Quando você chegar à área de cliente VPN do Centro de software ( somente clientes registrados), certifique-se de selecionar a área de downloads para seu sistema operacional desejado no meio da página.

P. Como posso desativar o recurso de firewall stateful durante a instalação do Cisco VPN Client?

R. Para versões do VPN Client anteriores à 5.0:

Consulte a seção Alterações na Documentação das Release Notes do VPN Client Rel 4.7 para aprender sobre os dois tópicos "Utilização do MSI para Instalar o VPN Client para Windows sem o Firewall Stateful" e "Utilização do InstallShield para Instalar o VPN Client para Windows sem o Firewall Stateful".

Para versões do cliente VPN mais recentes que o 5.0:

Começando com o Cisco VPN Client versão 5.0.3.0560, um indicador de instalação MSI foi adicionado para evitar a instalação da associação em arquivos de firewall:

msiexec.exe /i vpnclient_setup.msi DONTINSTALLFIREWALL=1

Consulte a seção Como Ignorar a Instalação de Arquivos de Firewall Quando o Firewall Stateful Não É Necessário para obter mais informações sobre isso.

P. Como desinstalo ou atualizo o Cisco VPN Client?

R. Consulte Remoção de uma versão do VPN Client instalada com o MSI Installer para obter informações sobre como desinstalar manualmente (InstallShield) e depois atualizar o Cisco VPN Client versão 3.5 e posterior para Windows 2000 e Windows XP.

O software Cisco VPN Client para Windows 2000 e Windows XP pode fazer o download seguro de atualizações e novas versões automaticamente através de um túnel a partir de um VPN 3000 Concentrator ou de outro servidor VPN que possa fornecer notificações. O pré-requisito mínimo para isso é que os usuários remotos devem ter o VPN Client for Windows 4.6 ou posterior instalado em seus PC para usar o recurso de atualização automática.

Com esse recurso, chamado de autoupdate, os usuários não precisam desinstalar uma versão antiga do software, reinicializar, instalar a nova versão e, em seguida, reinicializar novamente. Em vez disso, um administrador disponibiliza as atualizações e os perfis em um servidor de Web e quando um usuário remoto inicia o Cliente VPN, o software detecta que um download está disponível e pega automaticamente. Para obter mais informação, consulte Como Gerenciar autoupdates e Como Funciona a Atualização Automática.

Para obter informações sobre como configurar uma atualização do cliente em um Mecanismo de Segurança Cisco ASA Series 5500 Adaptive usando o ASDM, consulte Configuração de Atualização do Software do Cliente Usando o ASDM.

P. Desejo personalizar os clientes VPN para o Vista. Eu sei que, na nova versão do cliente VPN para o Vista, não há mais um arquivo como oem.mst. Como podemos personalizar as novas versões de clientes VPN (5.x), ou onde posso encontrar esse arquivo?

R. O arquivo MST não é mais fornecido com o VPN Client, mas você pode baixá-lo da página Download Software ( registered customers only):

Nome do arquivo: Leia-me e MST para a instalação na versão internacional do Windows.

Sistema operacional

P. A Cisco fornece um VPN Client para o Windows Vista?

R. A nova versão do Cisco VPN Client 5.0.07 suporta o Windows Vista em x86 (32 bits) e x64. Consulte as Release Notes 5.0.07.0240 para obter mais informações.

Observação: o Cisco VPN Client é suportado apenas na instalação limpa do Windows Vista, o que significa que uma atualização de qualquer sistema operacional Windows para o Windows Vista não é suportada com o software do cliente VPN. Você deve instalar o Windows Vista a partir do zero e, em seguida, instalar o software Vista VPN Client.

Note:  Se você não possuir um contrato de serviço válido associado ao seu perfil do Cisco.com, você não poderá iniciar sessão e baixar o software do VPN Client. Consulte Baixar Software do VPN Client para obter mais informações.

Dica: o Cisco AnyConnect VPN Client agora está disponível para sistemas operacionais Windows, o que inclui o Vista de 32 e 64 bits. O cliente do AnyConnect oferece suporte a SSL e DTLS. Ele não oferece suporte ao IPSec no momento. Além disso, o AnyConnect está disponível somente para uso com um Cisco Adaptive Security Appliance versão 8.0(2) ou mais recente. O cliente também pode ser usado no modo weblaunch com os IOS Appliances que executam a versão 12.4(15)T. Não há suporte ao VPN 3000.

O Cisco AnyConnect VPN Client e ASA 8.0 podem ser obtidos no Centro de Software ( somente clientes registrados). Consulte as Release Notes do Cisco AnyConnect VPN Clientpara obter mais informações sobre o AnyConnect Client. Consulte as Release Notes dos Cisco ASA 5500 Series Adaptive Security Appliances para obter mais informações sobre o ASA 8.0.

Note:  Se você não possuir um contrato de serviço válido associado ao seu perfil do Cisco.com, você não poderá iniciar sessão e baixar o software do AnyConnect VPN Client ou do ASA. Consulte Baixar Software do VPN Client para obter mais informações.

P. Como configuro uma conexão PPTP a partir de um PC com Microsoft Windows?

R. A instalação depende da versão do Microsoft Windows que você usa. Entre em contato com a Microsoft para obter informações específicas. Seguem instruções de configuração para algumas das versões do Windows mais comuns:

Windows 95

1. Instale o Msdun13.exe.
2. Escolha Programs > Accessories > Dial Up Networking.
3. Crie uma nova conexão chamada “PPTP.”
4. Selecione o VPN Adapter como dispositivo da conexão.
5. Insira o endereço IP da interface pública do switch e clique em Finish.
6. Volte para a conexão que você acabou de criar, clique com o botão direito, e escolha Properties.
7. Em Allowed Network Protocols, pelo menos, desmarque netbeui.
8. Configure as Advanced Options.
   1. Mantenha as configurações padrão para permitir que o switch e o cliente negociem automaticamente o método de autenticação.
   2. Habilite Require Encrypted Password para forçar a autenticação Challenge Handshake Authentication Protocol (CHAP).
   3. Habilite Require Encrypted Password e Require Data Encryption para forçar a autenticação MS-CHAP.

Windows 98

1. Conclua estas etapas para instalar o recurso PPTP:
   1. Escolha Start > Settings > Control Panel > Add New Hardware, e clique em Next.
   2. Clique em Select from List, escolha Network Adapter, e clique em Next.
   3. Escolha Microsoft no painel esquerdo e Microsoft VPN Adapter no painel direito.
2. Conclua estas etapas para configurar o recurso PPTP:
   1. Escolha Start > Programs > Accessories > Communications > Dial Up Networking.
   2. Clique em Make new connection, e escolha Microsoft VPN Adapter em Select a device. O endereço IP do servidor VPN = ponto final do túnel 3000.
3. Conclua estas etapas para alterar o PC para permitir também o Password Authentication Protocol (PAP):

   Observação: a autenticação padrão do Windows 98 é usar a criptografia de senha (CHAP ou MS-CHAP).

   1. Escolha Properties > Server types.
   2. Desmarque Require encrypted password. Você pode configurar a criptografia de dados (MPPE ou sem MPPE) nessa área.

Windows 2000

1. Escolha Start > Programs > Accessories > Communications > Network and Dialup connections.
2. Clique em Make new connection e, em seguida, em Next.
3. Escolha Connect to a private network through the Internet and Dial a connection prior (não selecione essa opção se tiver um LAN), e clique em Next.
4. Insira o nome de host ou o endereço IP do ponto final do túnel (3000).
5. Se precisar alterar o tipo da senha, escolha Properties > Security for the connection > Advanced. O padrão é MS-CHAP e MS-CHAP v2 (não CHAP ou PAP). Você pode configurar a criptografia de dados (MPPE ou não MPPE) nessa área.

Windows NT

Consulte Instalação, Configuração e Utilização do PPTP com Clientes e Servidores Microsoft.

Q. Que versões do sistema operacional suportam o Cisco VPN Client?

R. O suporte a sistemas operacionais adicionais é acrescentado constantemente para o VPN Client. Consulte Requisitos do sistema nas release notes do VPN Client 5.0.07 para determinar isso, ou consulte Hardware e Clientes VPN da Cisco que Oferecem Suporte a IPsec/PPTP/L2TP.

Notas:

• O cliente VPN inclui suporte para estações de trabalho dual-processor e dual-core para Windows XP e Windows Vista.

• O Windows VPN Client Release 4.8.00.440 foi a versão final que oficialmente suportou o sistema operacional Windows 98.

• O Windows VPN Client Release 4.6.04.0043 foi a versão final que oficialmente ofereceu suporte ao sistema operacional Windows NT.

• O Cisco VPN Client ver 5.0.07 oferece suporte ao Windows Vista e ao Windows 7 nas edições x86 (de 32 bits) e x64 (64-bit).

• O Cisco VPN Client oferece suporte apenas ao Windows XP de 32 bits, mas o Windows XP de 64 bits não é suportado.

  Observação: o suporte para Windows Vista de 32 bits estava disponível em todas as versões 5.x. O Cisco VPN client version 5.0.07 adicionou o suporte a 64 bits.

P. Preciso ser um administrador em máquinas Windows NT/2000 para carregar o cliente VPN?

R. Sim, você deve ter privilégios de administrador para instalar o cliente VPN no Windows NT e no Windows 2000, pois esses sistemas operacionais exigem privilégios de administrador para vincular aos drivers de rede existentes ou para instalar novos drivers de rede. O software de cliente VPN é um software de rede. Você deve ter privilégios de administrador para instalá-lo.

P. O Cisco VPN Client funciona com o Microsoft Internet Connection Sharing (ICS) instalado na mesma máquina?

R. Não, o Cisco VPN 3000 Client não é compatível com o Microsoft ICS na mesma máquina. Você deve desinstalar o ICS antes de instalar o cliente VPN. Consulte Desabilitação do ICS na Preparação para Instalar ou Fazer o Upgrade para o Cisco VPN Client 3.5.x no Microsoft Windows XP para obter mais informações.

Embora ter o cliente VPN e o ICS no mesmo PC não funcione, esta disposição funciona.

P. Meu cliente VPN parece se conectar somente a determinados endereços. Eu uso o Windows XP. O que devo fazer?

R. Verifique se o firewall interno do Windows XP está desabilitado.

P. O Cisco VPN Client é compatível com o firewall stateful do Windows XP?

R. Esse problema foi resolvido. Consulte o bug da Cisco ID CSCdx15865 (somente clientes registrados) no Bug Toolkit para obter detalhes.

P. Quando eu instalo o cliente VPN no Windows XP e no Windows 2000, a interface multiusuário está desativada?

R. A instalação desativa a tela de boas-vindas e a troca rápida de usuário. Consulte o bug da Cisco ID CSCdu24073 (somente clientes registrados) no Bug Toolkit para obter detalhes.

P. Como posso fazer com que o cliente VPN para Linux passe para o segundo plano após a execução? Se iniciar uma conexão como vpnclient connect foo, eu consigo entrar masso shell retorna.

R. Após o início da sessão, digite:

• ^Z

• bg

P. Quando eu instalo o Cisco VPN Client no Windows XP Home Edition, a barra de tarefas não fica visível. Como faço para desfazer isso?

R. Escolha Control Panel > Network Connections > Remove Network Bridge para ajustar essa configuração.

P. Quando tento instalar o Linux VPN Client no RedHat 8.0, recebo um erro que diz que o módulo não pode ser carregado porque o módulo foi compilado com GCC 2 e o kernel foi compilado com GCC 3.2. O que devo fazer?

R. Isso ocorre porque a nova versão do RedHat tem uma versão mais recente do compilador GCC (3.2+), o que faz com que o Cisco VPN Client atual falhe. Esse problema foi corrigido e está disponível em Cisco VPN 3.6.2a. Consulte o bug da Cisco ID CSCdx15865 (somente clientes registrados) no Bug Toolkit para obter detalhes ou baixe o software do Centro de Software de VPN (somente clientes registrados).

P. Por que o software desabilita o Fast User Switching quando instalo o VPN Client 3.1 no Windows XP?

R. Microsoft desabilita automaticamente a Troca Rápida de Usuários no Windows XP quando uma biblioteca GINA.dll é especificada no Registro. O Cliente de VPN Cisco instala a dll CSgina para implementar o recurso "Start Before Login" (Iniciar Antes do Login). Se precisar usar a Troca Rápida de Usuários, desabilite o recurso "Iniciar Antes do Login". Os usuários registrados podem obter mais informações no bug da Cisco ID CSCdu24073 (somente clientes registrados) no Bug Toolkit.

P. O cliente VPN IPsec oferece suporte ao recurso Iniciar Antes do Logon (SBL) no Windows 7?

R. O recurso SBL não tem suporte em clientes VPN IPsec no Windows7. Ele tem suporte no AnyConnect VPN Client.

Mensagens de erro

Q. Quando eu instalo o Cisco VPN Client 4.x, eu recebo esta mensagem de erro: Warning 201: The necessary VPN sub-system is not available. You can not connect to the remote VPN server

R. Esse problema pode ser causado por pacotes de firewall instalados no computador cliente VPN. Para evitar essa mensagem de erro, certifique-se de que nenhum programa de firewall ou antivírus esteja instalado ou em execução em seu PC no momento da instalação.

P. Eu atualizei para o Mac OS X 10.3 (conhecido como "Panther"), mas agora meu Cisco VPN Client 4.x exibe estas mensagens de erro: Secure VPN Connection terminated locally by the Client Reason: Unable to contact the security gateway

R. Você deve adicionar UseLegacyIKEPort=0 ao perfil (arquivo .pcf) encontrado no diretório /etc/CiscoSystemsVPNClient/Profiles/ para que o Cisco VPN Client 4.x funcione com o Mac OS X 10.3 ("Panther").

P. Quando tento desinstalar o cliente VPN, recebo esta mensagem de erro: Error msg: falha ao localizar o arquivo de desinstalação... O que essa mensagem de erro significa e como posso concluir com sucesso a desinstalação?

R. Verifique o Painel de Controle da rede para garantir que o DNE (Deterministic NDIS Extender, extensor de NDIS determinístico) não foi instalado. Escolha também Microsoft > Current Version > Uninstall para verificar o arquivo de desinstalação. Remova o arquivo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB4-00E0290FCAC5} e repita a desinstalação.

P. Não consigo instalar o cliente VPN no Windows 2000 Professional. Eu recebo este erro: Não foi possível instalar um arquivo de suporte à instalação. Falha Catastrófica. O que devo fazer?

R. Remova a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall. Em seguida, reinicialize seu computador e reinstale o cliente VPN.

Observação: para encontrar a chave correta para o software Cisco VPN Client no caminho HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<chave a ser determinada>, vá para HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\ e clique em VPN Client. Na janela à direita, veja o Uninstall Path (caminho de desinstalação) sob a coluna Name (nome). A coluna Data correspondente exibe o valor da chave do VPN Client. Anote essa chave, vá para HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\, selecione a chave determinada, e a exclua.

Consulte Troubleshooting de Erros de Inicialização e também o bug da Cisco ID CSCdv15391 (somente clientes registrados) no Bug Toolkit para obter mais informações.

P. Quando tento instalar o Linux VPN Client no RedHat 8.0, recebo um erro que indica que o módulo não pode ser carregado porque o módulo foi compilado com GCC 2 e o kernel foi compilado com GCC 3.2. O que devo fazer?

R. Esse problema ocorre porque a nova versão do RedHat tem uma versão mais recente do compilador GCC (3.2+), o que faz com que o Cisco VPN Client atual falhe. Esse problema foi corrigido e está disponível em Cisco VPN 3.6.2a. Consulte o bug da Cisco ID CSCdx15865 (somente clientes registrados) no Bug Toolkit para obter detalhes ou baixe o software do Centro de Software de VPN (somente clientes registrados).

P. Recebo uma mensagem de erro "peer no longer responding" quando meu Linux Client 3.5 tenta estabelecer uma conexão IPsec para um PIX ou para um VPN 3000 Concentrator. O que devo fazer?

R. O sintoma desse problema é que o cliente Linux parece tentar se conectar, mas nunca obtém uma resposta do dispositivo de gateway.

O sistema operacional Linux possui um firewall interno (ipchains) que bloqueia a porta UDP 500, a porta UDP 1000 e os pacotes ESP. Como o firewall é habilitado por padrão, você tem que desabilitar o firewall ou abrir as portas para a comunicação IPsec para ambas as conexões de entrada e saída para corrigir o problema.

P. Recebo um erro de extensão de kernel quando tento executar o Cisco VPN 5000 5.2.2 Client no Mac OS X 10.3. O que devo fazer?

R. Conforme indicado nas Release Notes do produto, o Cisco VPN 5000 Client é suportado até a versão 10.1.x e, portanto, não é suportado na versão 10.3. É possível fazer com que o VPN Client funcione quando você redefinir as permissões em dois dos arquivos instalados após executar o script de instalação. Aqui está um exemplo:

Observação: esta configuração não é suportada pela Cisco.

sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext

P. Não consigo instalar a nova versão do Cisco VPN Client. Quando eu instalo, eu recebo uma destas mensagens de erro: "Error DNEinst execution error while installing DNE, return code -2146500093" ou "InstallDNE Error: DNEinst execution error while installing DNE, returncode -2147024891." Esse problema ocorre quando eu instalo o Deterministic Network Enhancer.

R. Instale o upgrade mais recente do DNE da Deterministic Networks.

P. Obtenho estes logs do Cisco VPN Client quando faço uma conexão:

208    15:09:08.619  01/17/08  Sev=Debug/7	CVPND/0x63400015
Value for ini parameter VAEnableAlt is 1.

209    15:09:08.619  01/17/08  Sev=Warning/2	CVPND/0xE3400003
Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558)

210    15:09:08.619  01/17/08  Sev=Warning/3	CVPND/0xE340000C
The Client was unable to enable the Virtual Adapter because it could not open the device.

R. Trata-se de uma mensagem de erro bastante genérica, que normalmente exige a desinstalação manual do cliente. Siga as instruções neste link. Removendo uma versão de cliente VPN instalada com o instalador MSI.

Após desinstalar, certifique-se de reinicializar. Em seguida, reinstale o cliente. Certifique-se de estar conectado como um usuário que tenha direitos de administrador na máquina local.

P. Quando tento conectar o Cisco VPN Client em um Mac OS, recebo esta mensagem de erro: Erro 51 - Não é possível estabelecer comunicação com o subsistema VPN. Como resolvo esse problema?

R. O problema pode ser resolvido se você reiniciar o serviço depois de fechar o cliente VPN desta maneira:

Para parar:

sudo kextunload -b com.cisco.nke.ipsec

Para iniciar:

sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPN

Verifique também a seguinte execução na mesma máquina onde o cliente VPN está instalado e desabilite o mesmos.

• Qualquer software virtual (como VMWare Fusions, Parallels, crossovers)

• Qualquer software antivírus/de firewall.

• Compatibilidade do cliente VPN com o sistema operacional de 64 bits; consulte as Release Note do Cisco VPN Client.

P. Obtenho o "Motivo 442: failed to enable virtual adapter". Como eu posso solucionar esse erro?

A. O Motivo 442: failed to enable virtual adapter aparece depois que o Vista informa que foi detectado um endereço IP duplicado. As conexões subsequentes falham com a mesma mensagem, mas o Vista não informa que foi detectado um endereço IP duplicado. Consulte Endereço IP Duplicado Aciona o Erro 442 no Windows Vista para obter mais informações sobre como solucionar esse problema.

P. Quando eu instalo o Cisco VPN Client, o erro Deterministic Network Enhancer Add Plugin Failed é recebido. Como solucionar esse erro?

R. A instalação do adaptador DNE pode resolver o problema. É melhor usar a versão Installshield para a instalação em vez do MSI.

P. Recebi este erro: Motivo 442: falha ao habilitar o adaptador virtual. Como resolvo esse problema?

R. Esse erro é exibido depois que o Windows 7 e o Windows Vista relatam a detecção de um endereço IP duplicado. As conexões subsequentes falham com a mesma mensagem, mas o sistema operacional não relata que o endereço IP duplicado foi detectado. Consulte Duplicate IP Address Triggers Error 442 no Windows 7 e no Vista para obter mais informações sobre como resolver esse problema.

P. Quando tento iniciar o VPN Client 4.9 para MAC OS 10.6, recebo este erro: Erro 51: Não é possível estabelecer comunicação com o subsistema vpn. Como resolver esse problema?

R. Esse problema ocorre porque o suporte de 64 bits não está disponível com o Cisco VPN Client para MAC OS versão 4.9. Como solução alternativa, você pode inicializar no modo kernel de 32 bits. Para obter mais informações, consulte o Bug da Cisco ID CSCth11092 ( somente clientes registrados) e as notas de versão do Cisco VPN Client para MAC OSX.

Compatibilidade com Terceiros

P. O Cliente Nortel é compatível com os Cisco VPN 3000 Concentrators?

R. Não. O cliente Nortel não pode se conectar ao Cisco VPN 3000 Concentrator.

P. Posso ter clientes VPN de outros fornecedores, como o Nortel Contivity VPN Client, instalados simultaneamente com o Cisco VPN Client?

R. Não. Há problemas conhecidos quando vários clientes VPN são instalados no mesmo PC.

P. Os Cisco VPN Clients são compatíveis com VPN Concentrators de terceiros?

R. Os Cisco VPN Clients não são suportados com concentradores VPN de terceiros.

Autenticação

P. Como as versões 1.1 e 3.x dos Cisco VPN Clients armazenam internamente certificados digitais (X.509v3)?

R. O Cisco VPN Client 1.1 tem seu próprio armazenamento de certificados. O Cisco VPN Client 3.x pode armazenar os certificados no armazenamento da Microsoft usando a Common-Application Programming Interface (CAPI) ou no armazenamento próprio da Cisco (Rsa Data Security).

P. Posso ter o mesmo nome de grupo e nome de usuário no VPN Concentrator?

R. Não, o nome do grupo e o nome do usuário não podem ser iguais. Esse é um problema conhecido, encontrado nas versões 2.5.2 e 3.0 do software e integrado à versão 3.1.2. Consulte o bug da Cisco ID CSCdw29034 ( somente clientes registrados) no Bug Toolkit para obter mais informações.

P. Placas de desafio completo, como o Defender, são suportadas no Cisco VPN Client para PIX?

R. Não, não há suporte para placas desse tipo.

Versão do Software do VPN Client

P. O que aconteceu com a opção "Set MTU Utility" que estava nas versões 2.5.2 e anteriores do Cisco VPN Client?

R. O Cisco VPN Client agora ajusta o tamanho da Unidade Máxima de Transmissão (MTU - Maximum Transmission Unit). A opção Set MTU Utility do grupo não é mais uma etapa de instalação obrigatória. A opção Set MTU é usada principalmente para diagnosticar problemas de conectividade. O caminho para selecionar a opção SetMTU para uma máquina de Windows é Start > Programs > Cisco Systems VPN Client > SetMTU. Para obter mais informações sobre a opção SetMTU e a configuração desta opção em outros sistemas operacionais, consulte Alteração do tamanho do MTU com a opção SetMTU.

P. Quais são os idiomas suportados nas versões da GUI do Cisco VPN Client posteriores à 4.0?

R. Os idiomas suportados nas versões da GUI do Cisco VPN Client posteriores à 4.0 são o canadense, o francês e o japonês.

P. Que firewalls pessoais são compatíveis com o Cisco VPN Client?

R. Para fornecer um nível mais alto de segurança, o VPN Client pode impor a operação de um firewall suportado ou receber uma política de firewall stateful para o tráfego de Internet.

Atualmente, o VPN Client 5.0 suporta os seguintes firewalls pessoais:

• BlackIce Defender

• Cisco Security Agent

• Sygate Personal Firewall

• Sygate Personal Firewall Pro

• Sygate Security Agent

• ZoneAlarm

• ZoneAlarmPro

A partir da versão 3.1, um novo recurso foi adicionado ao VPN 3000 Concentrator para detectar quais softwares de firewall pessoal os usuários remotos instalaram e impedir que os usuários se conectem na ausência do software apropriado. Escolha Configuration > User Management > Groups > Client FW, e clique na guia do grupo para o qual você vai configurar esse recurso

Para obter mais informações sobre a aplicação da política de firewall em uma máquina Cisco VPN Client, consulte Cenários de Configuração de Firewall.

P. Há problemas de conectividade ao usar o Cisco VPN Client 3.x com o AOL 7.0?

R. O Cisco VPN Client não funciona com o AOL 7.0 sem o uso de tunelamento dividido. Consulte o bug da Cisco ID CSCdx04842 (somente clientes registrados) no Bug Toolkit para obter detalhes.

Configuração de Software do VPN Client

P. Por que o Cisco VPN Client desconecta após 30 minutos? Posso estender esse período de tempo?

R. Se não houver atividade de comunicação em uma conexão de usuário durante esse período de 30 minutos, o sistema encerrará a conexão. A configuração de timeout de ociosidade padrão é 30 minutos, com um valor mínimo permitido de 1 minuto e um máximo de 2.147.483.647 minutos (mais de 4.000 anos).

Escolha Configuration > User Management > Groups e escolha o nome do grupo apropriado para modificar a configuração de timeout de ociosidade. Escolha Modify Group, clique na guia HW Client e insira o valor desejado no campo User Idle Timeout. Insira 0 para desabilitar o timeout e permitir um período ocioso ilimitado.

P. O Cisco VPN Client pode ser implantado com todos os parâmetros pré-configurados?

R. Se o arquivo vpnclient.ini estiver incluído no software do VPN Client quando for instalado pela primeira vez, ele configurará automaticamente o VPN Client durante a instalação. Você também pode distribuir os arquivos de perfil (um arquivo .pcf para cada entrada de conexão) como perfis de conexão pré-configurados para a configuração automática. Para distribuir cópias pré-configuradas do software de cliente VPN aos usuários para a instalação, conclua estas etapas:

1. Copie os arquivos do software de cliente VPN do CD-ROM de distribuição em cada diretório em que você criou um arquivos vpnclient.ini (global) e separe os perfis de conexão para cada conjunto de usuários.

   Observação: para a plataforma Mac OS X, os arquivos pré-configurados são colocados nas pastas Profiles and Resources antes que o VPN Client seja instalado. O arquivo vpnclient.ini é colocado no diretório do instalador. Você deve colocar os arquivos personalizados vpnclient.ini no diretório VPN Client Installer no mesmo nível que as pastas Perfis e Recursos. Veja o Capítulo 2 do Guia do Usuário do Cliente VPN para Mac OS X para obter mais informações

2. Prepare e distribua o software empacotado. Distribuição em CD-ROM ou em rede. Certifique-se de que o arquivo vpnclient.ini e os arquivos de perfil estejam no mesmo diretório com todos os arquivos de imagem do CD-ROM. Os usuários podem instalar a partir desse diretório através de uma conexão de rede; ou você pode copiar todos os arquivos para um novo CD-ROM de distribuição; ou você pode criar um arquivo zip self-extracting que contenha todos os arquivos desse diretório, e os usuários baixam e, em seguida, instalam o software.

3. Forneça aos usuários quaisquer outras informações e instruções de configuração necessárias. Veja o Capítulo 2 do Guia do Usuário do Cliente VPN para sua plataforma.

P. Parece que o Cisco VPN Client tem um conflito com minha placa de rede. Como devo solucionar esse problema?

R. Certifique-se de executar os drivers mais recentes na placa NIC. Isso é sempre recomendado. Se possível, teste para ver se o problema é específico do sistema operacional, hardware do PC e de outras placas NIC.

P. Como automatizo a conexão do Cisco VPN Client a partir da rede dial-up?

R. Escolha Options > Properties > Connections e faça com que o Cisco VPN Client desça uma entrada da agenda telefônica do Dial-Up Networking para automatizar completamente a discagem na conexão VPN.

P. Como configuro o Cisco VPN 3000 Concentrator para notificar usuários remotos sobre a atualização do cliente VPN?

R. Você pode notificar os usuários do VPN Client quando for o momento de atualizar o software do VPN Client em seus sistemas remotos. Consulte Notificação de Usuários Remotos sobre uma Atualização de Cliente para uma abordagem passo a passo. Certifique-se de digitar as informações de release como "(Rel)", conforme mostrado no passo 7 do processo.

P. O que pode causar um atraso antes que o Cisco VPN Client apareça, especificamente quando a opção "Start Before Logon" (Iniciar antes do logon) está habilitada?

R. O Cisco VPN Client está no modo de retorno. Isso contribui para o atraso. No modo fallback, o Cliente VPN executa de forma diferente de quando inicia antes da sessão estar em uso. Ao operar no modo fallback, o cliente VPN não verifica se os serviços necessários do Windows foram iniciados. Como resultado, a conexão VPN pode falhar se iniciada muito rapidamente.Desinstale o Cisco VPN Client e remova os aplicativos ofensivos para permitir a inicialização sem estar no modo "fall back". Em seguida, reinstale o Cisco VPN Client. Para obter mais informações sobre o modo fallback, consulte Iniciar antes do Logon.

Consulte os bugs da Cisco IDs CSCdt88922 ( somente clientes registrados) e CSCdt55739 ( somente clientes registrados) no Bug Toolkit para obter mais informações.

P. Preciso entender a diferença entre ipsecdialer.exe e vpngui.exe. Por que o vpngui.exe está instalado na INICIALIZAÇÃO do meu Windows XP, mas eu ainda preciso iniciar manualmente o ipsecdialer para acessar os recursos da minha empresa? E (independentemente do tamanho) esses programas parecem acionar a mesma coisa: um logon VPN na rede da minha empresa.

R. O ipsecdialer.exe era o mecanismo de inicialização original do Cisco VPN Client versão 3.x. Quando a GUI foi alterada nas versões 4.x, um novo executável chamado vpngui.exe foi criado. O arquivo ipsecdialer.exe teve o nome aproveitado para fins de compatibilidade com as versões anteriores e apenas inicia o vpngui.exe. Essa é a razão pela qual você percebeu a diferença no tamanho do arquivo.

Então, quando você muda da versão 4.x para versão 3.x do Cisco VPN Client, você precisa do arquivo ipsecdialer.exe para a inicialização.

P. Posso remover com segurança o ícone de inicialização da VPN? Por que ele é necessário?

R. O Cisco VPN Client na pasta de inicialização suporta o recurso "Start Before Logon" (Iniciar antes do logon). Se você não usa o recurso, ele não precisa estar na pasta de inicialização.

P. Por que "user_logon" é adicionado e não no atalho ipsecdialer.exe? Qual é a finalidade do "início de sessão do usuário"?

R. O recurso "Iniciar Antes do Logon" requer o "user_logon", mas uma inicialização normal do Cisco VPN Client pelo usuário não precisa disso.

Problemas de NAT/PAT

P. Estou tendo problemas com apenas um cliente VPN (para as versões 3.3 e anteriores) que pode se conectar por meio de um dispositivo PAT (Port Address Translation). O que posso fazer para eliminar o problema?

R. Houve um erro em várias implementações de Network Address Translation (NAT)/PAT que fez com que as portas menores que 1024 não fossem convertidas. No Cisco VPN Client 3.1, mesmo com a transparência de NAT ativada, a sessão do Internet Security Association and Key Management Protocol (ISAKMP) usa o UDP 512. O primeiro cliente VPN passa pelo dispositivo PAT e mantém a porta origem 512 na parte externa. Quando o segundo cliente VPN conecta, a porta 512 já está em uso. A tentativa falha.

Existem três possíveis soluções alternativas.

• Corrija o dispositivo PAT.

• Faça upgrade dos clientes VPN para a versão 3.4 e use o encapsulamento de TCP.

• Instale um VPN 3002 para substituir todos os clientes VPN.

P. Dois laptops podem ser conectados ao Cisco VPN Client no mesmo local?

R. Dois clientes podem se conectar ao mesmo head end do mesmo local, contanto que os clientes não estejam ambos atrás de um dispositivo que executa o PAT, como um roteador/firewall SOHO. Muitos dispositivos PAT podem mapear UMA conexão de VPN para um cliente atrás dele, mas não dois. Para permitir que dois clientes VPN se conectem do mesmo local por trás de um dispositivo PAT, habilite algum tipo de encapsulamento, como NAT-T, IPSec over UDP ou IPSec over TCP no head end. Geralmente, o NAT-T ou outro encapsulamento deve ser habilitado se QUALQUER dispositivo NAT estiver entre o cliente e o head end.

Diversos

P. Quando me conecto à rede no escritório usando meu laptop e depois levo o laptop para casa, tenho problemas para me conectar ao VPN 3000 Concentrator de casa. Qual é o problema?

R. O laptop pode estar retendo as informações de roteamento da conexão LAN. Consulte VPN Clients com Problemas de Roteamento Microsoft para obter informações sobre como resolver esse problema.

P. Como posso saber se um cliente VPN está conectado ao VPN Concentrator?

R. Verifique a chave de registro chamada HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished. Se um túnel estiver ativo, o valor será 1. Se nenhum túnel estiver presente, o valor será 0.

P. Tenho problemas com a conexão do NetMeeting a partir de um PC por trás de um VPN Concentrator para um cliente VPN, mas a conexão funciona quando executo a partir do PC para um cliente VPN por trás de um VPN Concentrator. Como posso resolver isso?

R. Siga as etapas apropriadas listadas aqui para controlar as configurações de conexão:

• Na unidade principal do PC, escolha Program Files > Cisco Systems > VPN Client > Profiles. Clique com o botão direito o perfil que você usa, e escolha Abrir com para abrir o perfil em um editor de texto (por exemplo, o Bloco de notas). (Ao escolher o programa que deseja usar, certifique-se de desmarcar a caixa que diz Always use this program to open these files.) Encontre o parâmetro do perfil para ForcekeepAlives e altere o valor de 0 para 1. Em seguida, salve o perfil.

  or

• Para o cliente VPN, escolha Options > Properties > General e insira um valor para "Peer response timeout", conforme mostrado nesta janela de exemplo. Você pode especificar uma sensibilidade de timeout entre 30 a 480 segundos.

  or

• Para o VPN Concentrator, escolha Configuration > User Management > Groups > modify group. Na guia IPsec, escolha a opção para IKE Keepalives, conforme mostrado nesta janela de exemplo.

O intervalo de Dead Peer Detection (DPD) varia em função da configuração de sensibilidade. Uma vez que uma resposta não é recebida, ele entra em um modo mais agressivo e envia pacotes a cada cinco segundos até que o limite da resposta do peer seja atingido. Quando isso ocorrer, a conexão será desfeita. Você pode desabilitar os keepalives, mas, se sua conexão for realmente desfeita, você precisará esperar o intervalo. A Cisco recomenda que você defina um valor de sensibilidade muito baixo inicialmente.

P. O Cisco VPN Client suporta autenticação dupla?

R. Não. Não há suporte para autenticação dupla no Cisco VPN Client.

P. Como posso configurar o Cisco VPN Client para conectar-se no modo principal, em vez do modo agressivo?

R. Você deve usar assinaturas digitais (certificados) para permitir que o Cisco VPN Client se conecte no modo principal. Há 2 métodos para realizar isso:

1. Obtenha certificados CA do fornecedor de certificados de terceiros (por exemplo, o VeriSign ou Entrust) para o roteador e para todos os Cisco VPN Clients. Registre os certificados de identidade do mesmo servidor CA e use assinaturas digitais como uma maneira de autenticação entre o Cisco VPN Client e o roteador. Para obter mais informações sobre essa configuração, consulte Configuração de IPSec entre Cisco IOS Routers e Cisco VPN Client Usando Certificados do Entrust.

2. A segunda opção é configurar o roteador como o servidor CA, juntamente com o head end ao acesso remoto VPN. Instalar os certificados (e todo o resto) permanecerá como descrito no link anterior, exceto que o roteador se comportará como um servidor CA. Para obter mais informações, consulte VPN LAN-to-LAN Dinâmico entre Cisco IOS Routers Utilizando IOS CA no Exemplo de Configuração do Hub.Dynamic LAN-to-LAN VPN between Cisco IOS Routers Using IOS CA on the Hub Configuration Example.

P. Como faço para que os parâmetros necessários no arquivo de acesso de cliente VPN sejam somente leitura?

R. Adicione um ponto de exclamação (!) à frente de cada parâmetro no arquivo .pcf para cada usuário para tornar o parâmetro somente leitura.

Os valores para os parâmetros que começam com um ponto de exclamação (!) não podem ser mudados pelo usuário no cliente VPN. Os campos para esses valores na interface gráfica do usuário aparecerão escurecidos (somente leitura).

Esta é uma configuração de exemplo:

Arquivo .pcf Original

[main] 

Description=connection to TechPubs server

Host=10.10.99.30 

AuthType=1 

GroupName=docusers 

GroupPwd= 

enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C85
              1ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF

EnableISPConnect=0 

ISPConnectType=0 

ISPConnect= 

ISPCommand= 

Username=alice

Arquivo .pcf Alterado

[main] 

!Description=connection to TechPubs server 

!Host=10.10.99.30 

AuthType=1 

!GroupName=docusers 

GroupPwd= 

enc_GroupPwd=158E47893BDCD398BF863675204775622C494B39523E5CB65434D3C
          851ECF2DCC8BD488857EFA FDE1397A95E01910CABECCE4E040B7A77BF

EnableISPConnect=0 

ISPConnectType=0 

ISPConnect= 

ISPCommand= 

!Username=alice

Nesse exemplo, o usuário é incapaz de alterar os valores de Description, Host, GroupName, e Username.

P. É possível limitar/restringir o acesso para clientes VPN com base nos endereços MAC?

R. Não. Não é possível limitar/restringir o acesso para clientes VPN com base em endereços MAC.

Informações Relacionadas

• Página de suporte ao Cisco VPN 3000 Client
• Página de Suporte do Cisco VPN Client
• Soluções de Troubleshooting Mais Comuns de VPN IPsec L2L e de Acesso Remoto
• Suporte Técnico e Documentação - Cisco Systems