Cisco VPN Client に関する FAQ
目次
概要
VPN Client ソフトウェアのダウンロード
オペレーティング システム
エラー メッセージ
サード パーティ製品との互換性
認証
VPN Client ソフトウェアのバージョン
VPN Client ソフトウェアの設定
NAT/PAT の問題
その他
関連情報
概要
このドキュメントでは Cisco VPN Client に関する FAQ について説明しています。
注：各 VPN Client の製品名称の表記法は次のようになっています。
Cisco Secure VPN Client バージョン 1.0
1.1a のみ
Cisco VPN 3000 Client バージョン 2.x のみ
Cisco VPN Client 3.x 以降のみ
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Return to Top
VPN Client ソフトウェアのダウンロード
Q. VPN Client ソフトウェアはどこでダウンロードできるのですか。
A. VPN Client ソフトウェアにアクセスするには、ログインしていること、および有効なサービス契約が必要です。VPN Client ソフトウェアは Software Center（ 登録ユーザ専用）でダウン
ロードできます。お客様の Cisco.com プロファイルに有効なサービス契約が関連付けられていない場合は、ログインおよび VPN Client ソフトウェアのダウンロードを行うことができませ
ん。
有効なサービス契約を取得するには、次の手順に従います。
直接購入契約書をお持ちの場合は、Cisco の営業担当にご連絡ください。
サービス契約をご購入になる場合は、Cisco のパートナーまたは販売代理店にご連絡ください。
Cisco.com プロファイルを更新してサービス契約への関連付けをリクエストするには、Profile Manager（ 登録ユーザ専用）をご利用ください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. VPN Client のダウンロード エリアに何も表示されません。なぜですか。
A. Software Center の VPN Client エリア（登録ユーザ専用）にアクセスした際に、ページ中央部で適切なオペレーティング システムのダウンロード エリアを選択していることを確認して
ください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. VPN Client のインストール中にステートフル ファイアウォール機能をディセーブルにするにはどうすれ
ばよいのですか。
A. 『VPN Client Rel 4.7 リリース ノート』の「ドキュメントの変更」セクションにある次の 2 つのトピック「MSI を使用した、ステートフル ファイアウォールを使用しない Windows
VPN Client のインストール」および「InstallShield を使用した、ステートフル ファイアウォールを使用しない Windows VPN Client のインストール」を参照してください。
Return to Top
Q. Cisco VPN Client をアンインストールまたはアップグレードする方法を教えてください。
A. Windows 2000 および Windows XP 用 Cisco VPN Client バージョン 3.5 以降を手動でアンインストール（InstallShield を使用）してからアップグレードする手順の詳細は、
『Windows 2000 および Windows XP で Cisco VPN Client 3.5 以降を手動でアンインストールしてからアップグレードする方法』を参照してください。
Return to Top
Q. Vista 用 VPN Client ソフトウェアをカスタマイズしようとしているのですが、新しいバージョンの
Vista 用 VPN Client には、oem.mst のようなファイルがありません。VPN Client の新しいバージョン
（5.x）をカスタマイズするにはどうすればよいのですか。あるいは、このファイルはどこで入手できるので
すか。
A. VPN Client での MST ファイルの提供はすでに終了しています。ただし、英語版の Windows にインストールする場合の Readme および MST ファイルを Software Center（登録ユーザ専用）
でダウンロードできます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
オペレーティング システム
Q. Cisco では Windows Vista 用の VPN Client を提供していますか。
A. 32 ビット版の Windows Vista では Cisco VPN Client バージョン 5 を使用できます。現時点では、Cisco VPN Client の 64 ビット サポートの提供は予定されていませんが、Cisco
AnyConnect VPN Client では 64 ビット サポートが利用できます。このクライアントとリリース ノートは、Software Center（ 登録ユーザ専用）から入手できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
注：Cisco VPN Client がサポートされているのは、クリーン インストールされた Windows Vista でだけです。つまり、他の Windows OS を Windows Vista にアップグレードした場合、
この Vista は VPN Client ソフトウェアのサポート対象外となります。Windows Vista を新規でインストールしてから、Vista VPN Client ソフトウェアのインストールを行う必要があり
ます。
注：お客様の Cisco.com プロファイルに有効なサービス契約が関連付けられていない場合は、ログインおよび VPN Client ソフトウェアのダウンロードを行うことができません。詳細は、
「VPN Client ソフトウェアのダウンロード」を参照してください。
ヒント：Cisco AnyConnect VPN Client が、32 ビット版および 64 ビット版の Vista を含む Windows オペレーティング システムで利用できるようになっています。AnyConnect クライア
ントでは、SSL および DTLS がサポートされています。現時点では、IPSec はサポートされていません。また、AnyConnect は、バージョン 8.0(2) 以降が稼働する Cisco 適応型セキュリ
ティ アプライアンスとともに使用する場合にのみ使用できます。AnyConnect クライアントは、バージョン 12.4(15)T が稼働している IOS アプライアンスとともに、Web 起動モードで使
用することもできます。VPN 3000 はサポートされていません。
Cisco AnyConnect VPN Client と ASA 8.0 は、Software Center（登録ユーザ専用）から入手できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
AnyConnect Client の詳細は、『Cisco AnyConnect VPN Client リリース ノート』を参照してください。ASA 8.0 の詳細は、『Cisco ASA 5500 シリーズ適応型セキュリティ アプライアン
スのリリース ノート』を参照してください。
注：お客様の Cisco.com プロファイルに有効なサービス契約が関連付けられていない場合は、ログイン、および AnyConnect VPN Client または ASA ソフトウェアのダウンロードを行うこ
とができません。詳細は、「VPN Client ソフトウェアのダウンロード」を参照してください。
Return to Top
Q. Microsoft Windows PC から PPTP 接続をセットアップするにはどうすればよいのですか。
A. セットアップは、使用している Microsoft Windows のバージョンによって異なります。詳細は、Microsoft にお問い合せください。次に、Windows の一般的なバージョン用のセットア
ップ手順を示します。
A. Windows 95
1. Msdun13.exe をインストールします。
2. Programs > Accessories > Dial Up Networking の順に選択します。
3. 「PPTP」という名前で新しい接続を作成します。
4. 接続用のデバイスとして VPN Adapter を選択します。
5. スイッチのパブリック インターフェイスの IP アドレスを入力し、Finish をクリックします。
6. 先ほど作成した接続に戻り、マウスの右ボタンをクリックして Properties を選択します。
7. Allowed Network Protocols の下で、少なくとも netbeui のチェックマークをはずします。
8. Advanced Options を次のように設定します。
a. スイッチとクライアントに認証方法を自動ネゴシエートさせる場合は、デフォルト設定のままにします。
b. Challenge Handshake Authentication Protocol（CHAP; チャレンジ ハンドシェーク認証プロトコル）認証を適用する場合は、Require Encrypted Password をイネーブルにし
ます。
c. MS-CHAP 認証を適用する場合は、Require Encrypted Password と Require Data Encryption をイネーブルにします。
A. Windows 98
1. PPTP 機能をインストールするには、次の手順に従います。
a. Start > Settings > Control Panel > Add New Hardware の順に選択します。Next をクリックします。
b. Select from List をクリックし、Network Adapter を選択します。Next をクリックします。
c. 左パネルで Microsoft、右パネルで Microsoft VPN Adapter を選択します。
2. PPTP 機能を設定するには、次の手順に従います。
a. Start > Programs > Accessories > Communications > Dial Up Networking の順に選択します。
b. Make new connection をクリックし、Select a device に対して Microsoft VPN Adapter で接続します。VPN サーバ IP アドレスには 3000 トンネル エンドポイントの IP
アドレスを指定します。
3. 次の手順を実行して、Password Authentication Protocol（PAP; パスワード認証プロトコル）も使用できるように PC の設定を変更します。
注：Windows 98 のデフォルト認証では、パスワード暗号化（CHAP または MS-CHAP）が使用されます。
a. Properties > Server types の順に選択します。
b. Require encrypted password のチェックマークをはずします。この領域でデータの暗号化（Microsoft Point-to-Point Encryption [MPPE] または MPPE なし）を設定できま
す。
A. Windows 2000
1. Start > Programs > Accessories > Communications > Network and Dialup connections の順に選択します。
2. Make new connection をクリックし、Next をクリックします。
3. Connect to a private network through the Internet and Dial a connection prior を選択します（LAN がある場合はこれを選択しないでください）。Next をクリックします。
4. トンネル エンドポイント（3000）のホスト名または IP アドレスを入力します。
5. パスワード タイプを変更する場合は、Properties > Security for the connection > Advanced の順に選択します。デフォルトは MS-CHAP と MS-CHAP v2 です（CHAP または PAP
ではありません）。この領域でデータの暗号化（MPPE または MPPE なし）を設定できます。
A. Windows NT
『Installing, Configuring, and Using PPTP with Microsoft Clients and Servers』を参照してください。
Return to Top
Q. Cisco VPN Client をサポートしているオペレーティング システムのバージョンを教えてください。
A. VPN Client には、常に新しいオペレーティング システムのサポートが追加されています。これを確認するには、最新のクライアントのリリース ノートに記載されているシステム要件
を参照するか、『IPSec/PPTP/L2TP をサポートする Cisco ハードウェアと VPN クライアント』を参照してください。
Return to Top
Q. Windows NT/2000 マシンでは、VPN Client をロードするためにアドミニストレータになる必要があります
か。
A. はい、Windows NT および Windows 2000 に VPN Client をインストールするには、アドミニストレータ権限が必要です。これは、これらのオペレーティング システムで既存のネットワ
ーク ドライバをバインドしたり、新しいネットワーク ドライバをインストールしたりするのにアドミニストレータ権限が必要であるためです。VPN Client ソフトウェアはネットワーキン
グ ソフトウェアです。インストールするにはアドミニストレータ権限が必要です。
Return to Top
Q. Cisco VPN Client は、同じマシンにインストールされている Microsoft Internet Connection
Sharing（ICS）と併用できますか。
A. いいえ、Cisco VPN 3000 Client は同じマシン上にある Microsoft ICS と互換性がありません。VPN Client をインストールする前に、ICS をアンインストールする必要があります。詳
細は、『Cisco VPN Client 3.5.X へのアップグレードまたはインストール準備時の ICS のディセーブル化』を参照してください。
同じ PC 上に VPN Client と ICS があると動作しませんが、次の配置であれば動作します。
VPN Client と ICS を別の PC に分散した配置
Return to Top
Q. VPN Client が特定のアドレスにしか接続しないようです。稼働 OS は Windows XP です。どうすればよい
のですか。
A. Windows XP の組み込みのファイアウォールがディセーブルになっていることを確認してください。
Return to Top
Q. Cisco VPN Client は Windows XP のステートフル ファイアウォールと互換性がありますか。
A. この問題はすでに解決されています。Bug Toolkit で Cisco Bug ID CSCdx15865（登録ユーザ専用）を調べると、より詳細な情報を得ることができます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. Windows XP と Windows 2000 に VPN Client をインストールすると、マルチユーザ インターフェイスが
ディセーブルになるのですか。
A. VPN Client をインストールすると、初期画面と Fast User Switching がディセーブルになります。Bug Toolkit で Cisco Bug ID CSCdu24073（ 登録ユーザ専用）を調べると、より詳細な
情報を得ることができます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. VPN Client for Linux を実行後にバックグラウンドへ移動するにはどうすればよいのですか。vpnclient
connect foo などで接続を開始した場合、サインインできますが、シェルが返されます。
A. サインインした後、次のように入力します。
^Z
bg
Return to Top
Q. Windows XP Home Edition で Cisco VPN Client をインストールする際に、タスクバーが表示されませ
ん。これを元に戻すには、どうすればよいのですか。
A. Control Panel > Network Connections > Remove Network Bridge の順に選択すれば、この設定を調整できます。
Return to Top
Q. RedHat 8.0 で Linux VPN Client をインストールしようとすると、モジュールが GCC 2 でコンパイルさ
れ、カーネルが GCC 3.2 でコンパイルされているためにモジュールをロードできないという内容のエラーが
表示されます。どうすればよいのですか。
A. これは、RedHat の新規リリースに新しいバージョンの GCC コンパイラ（3.2+）が組み込まれていることで、現在のCisco VPN Client に障害が発生するためです。 この問題は修正され
ており、Cisco VPN 3.6.2a で提供されています。Bug Toolkit で Cisco bug ID CSCdy49082（ 登録ユーザ専用）を調べてより詳細な情報を得るか、VPN Software Center（ 登録ユーザ専用）から
ソフトウェアをダウンロードしてください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. Windows XP に VPN Client 3.1 をインストールすると、なぜ Fast User Switching がディセーブルにな
るのですか。
A. レジストリで GINA.dll が指定されている場合、Windows XP では Fast User Switching が自動的にディセーブルになります。Cisco VPN Client は、「Start Before Login」機能を実
装するために CSgina.dll をインストールします。Fast User Switching が必要な場合は、「Start Before Login」機能をディセーブルにしてください。Bug Toolkit で Bug ID
CSCdu24073 を調べると、より詳細な情報を得ることができます（ 登録ユーザ専用）。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
エラー メッセージ
Q. VPN Client 4.x をインストールすると、「Warning 201: The necessary VPN sub-system is not
available. You can not connect to the remote VPN server」というエラー メッセージが表示されます。
A. この問題は、ファイアウォール パッケージが VPN クライアント コンピュータにインストールされている場合に発生する可能性があります。このエラー メッセージが表示されないよう
にするには、ファイアウォール プログラムやアンチウィルス プログラムがインストールされていないこと、またはインストール時に PC 上で稼働していないことを確認してください。
Return to Top
Q. Mac OS X 10.3（Panther）にアップグレードしましたが、VPN Client は 4.x のままです。次のエラー メ
ッセージが表示されます。「Secure VPN Connection terminated locally by the Client Reason: Unable to
contact the security gateway」
A. VPN Client 4.x を Mac OS X 10.3（Panther）で使用するには、/etc/CiscoSystemsVPNClient/Profiles/ ディレクトリにあるプロファイル（.pcf ファイル）に UseLegacyIKEPort=0 を
追加する必要があります。
Return to Top
Q. VPN Client をアンインストールしようとした際に、「Error msg: failed to find the uninstall
file...」というメッセージが表示されましたが、これはどういう意味ですか。また、アンインストールを正
常に完了するにはどうすればよいのですか。
A. ネットワーク関係のコントロール パネルをチェックし、Deterministic NDIS Extender（DNE）がインストールされていないことを確認します。また、Microsoft > Current Version >
Uninstall の順に選択して、アンインストール ファイルを確認します。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5624C000-B109-11D4-9DB400E0290FCAC5} ファイルを削除して、もう一度アンインストールを実行します。
Return to Top
Q. Windows 2000 Professional で VPN Client がインストールできません。「"An installation support
file could not be installed" Catastrophic Failure」というエラーが表示されます。どうすればよいので
すか。
A. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall というキーを削除します。次にコンピュータをリブートし、VPN Client を再インストールします。
注：パス HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\<確認するキー> にある、Cisco VPN Client ソフトウェアに対する正しいキーを検索するには、パ
ス HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\ に移動して VPN Client をクリックします。右側のウィンドウの Name 列の下にある Uninstall Path を確認します。対応する Data 列
に VPN Client キーの値が表示されます。このキーを参照して、パス HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\ に移動する必要があります。次に、確
認したキーを選択して削除します。
詳細は、『Initialization Error Troubleshooting』を参照してください。また、Bug Toolkit で Cisco Bug ID CSCdv15391（登録ユーザ専用）を調べてください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. RedHat 8.0 で Linux VPN Client をインストールしようとすると、モジュールが GCC 2 でコンパイルさ
れ、カーネルが GCC 3.2 でコンパイルされているためにモジュールをロードできないという内容のエラーが
表示されます。どうすればよいのですか。
A. これは、RedHat の新規リリースに新しいバージョンの GCC コンパイラ（3.2+）が組み込まれていることで、現在の Cisco VPN Client に障害が発生するためです。この問題は修正され
ており、Cisco VPN 3.6.2a で提供されています。Bug Toolkit で Cisco bug ID CSCdy49082（ 登録ユーザ専用）を調べてより詳細な情報を得るか、VPN Software Center（ 登録ユーザ専用）から
ソフトウェアをダウンロードしてください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. Linux Client 3.5 を使用して PIX または VPN 3000 コンセントレータへの IPSec 接続を確立しようとす
ると、「peer no longer responding」というエラー メッセージが表示されます。どうすればよいのですか。
A. この問題の症状は、Linux Client は接続を試行しているように見えても、ゲートウェイ デバイスからの応答が得られないことです。
Linux OS にはファイアウォール ipchains が組み込まれており、これによって UDP ポート 500、UDP ポート 1000、および Encapsulating Security Payload（ESP）パケットがブロックさ
れます。このファイアウォールはデフォルトでオンになっているため、問題を解決するには、ファイアウォールをディセーブルにするか、または IPSec 通信の着信接続と発信接続で使用さ
れるポートを開く必要があります。
Return to Top
Q. Cisco VPN 5000 5.2.2 Client を Mac OS X 10.3 上で実行しようとすると、カーネル拡張エラーが発生し
ます。どうすればよいのですか。
A. この製品の『リリース ノート』に記載されているように、Cisco VPN 5000 Client をサポートしているのはバージョン 10.1.x が最新です。したがって、バージョン 10.3 ではサポー
トされていません。インストール スクリプトを実行した後で、インストールされた 2 つのファイルのアクセス権をリセットすると、VPN Client を動作可能にできます。次に例を示しま
す。
注：この設定は Cisco がサポートするものではありません。
sudo chown -R root:wheel /System/Library/Extensions/VPN5000.kext
sudo chmod -R go-w /System/Library/Extensions/VPN5000.kext
Return to Top
Q. 新しいバージョンの VPN Client
execution error while installing
execution error while installing
す。これは Deterministic Network
をインストールできません。インストール時に「Error DNEinst
DNE, return code -2146500093」または「InstallDNE Error: DNEinst
DNE, returncode -2147024891」というエラー メッセージが表示されま
Enhancer のインストール中に発生したものです。
A. Deterministic Networks から最新の DNE アップグレードをインストールしてください。
Return to Top
Q. 接続中に次のようなメッセージが VPN Client のログに出力されました。
208
15:09:08.619 01/17/08 Sev=Debug/7
Value for ini parameter VAEnableAlt is 1.
CVPND/0x63400015
209
15:09:08.619 01/17/08 Sev=Warning/2
CVPND/0xE3400003
Function RegOpenKey failed with an error code of 0x00000002(WindowsVirtualAdapter:558)
210
15:09:08.619 01/17/08 Sev=Warning/3
CVPND/0xE340000C
The Client was unable to enable the Virtual Adapter because it could not open the device.
A. 一般的なエラー メッセージです。通常、このエラー メッセージの場合には、クライアントを手動でアンインストールする必要があります。次のリンクで示される手順に従ってくださ
い。Windows 2000 および Windows XP で Cisco VPN Client 3.5 以降を手動でアンインストールしてからアップグレードする方法
アンインストールが終了したら、必ずリブートしてください。その後、クライアントを再インストールします。ローカル マシンの管理者権限を持つユーザとしてログインするようにしてく
ださい。
Return to Top
Q. VPN に接続しようとすると、Cisco VPN クライアントの MAC OS 上に「Error 51- Unable to
communication with the VPN subsystem」というエラー メッセージが表示されます。
A. 次の方法で VPN クライアントを閉じてからサービスを再起動すると、この問題を解決できます。
停止するには、次のようにします。
sudo kextunload -b com.cisco.nke.ipsec
起動するには、次のようにします。
sudo kextload /System/Library/Extensions/CiscoVPN/CiscoVPN
Return to Top
Q. 「Reason 442: failed to enable virtual adapter」エラーが表示されます。このエラーを解決するには
どうすればよいのですか。
A. Reason 442: failed to enable virtual adapter エラーは、重複する IP アドレスの検出が Vista によって報告されると表示されます。それ以降の接続失敗でも同じメッセージが表示
されますが、Vista からは重複する IP アドレスが検出されたことは報告されません。この問題の解決方法についての詳細は、『Windows Vista における重複する IP アドレスが原因のエ
ラー 442』を参照してください。
Return to Top
サード パーティ製品との互換性
Q. Nortel Client は Cisco VPN 3000 コンセントレータと互換性がありますか。
A. いいえ、Nortel Client は Cisco VPN 3000 コンセントレータには接続できません。
Return to Top
Q. 他のベンダーの VPN Client（Nortel Contivity VPN Client など）を、Cisco VPN Client と共存インス
トールできますか。
A. いいえ、同じ PC 上に複数の VPN Client をインストールすると発生する既知の問題があります。
Return to Top
Q. Cisco VPN Client はサード パーティの VPN コンセントレータでサポートされていますか。
A. Cisco VPN Client はサード パーティの VPN コンセントレータではサポートされていません。
Return to Top
認証
Q. VPN Client 1.1 および 3.x では、デジタル証明書（X.509v3）は内部でどのように保存されているのです
か。
A. VPN Client 1.1 には証明書用の独自の保管領域があります。VPN Client 3.x では、Common-Application Programming Interface（CAPI）を使用して Microsoft の保存域に証明書を保
存することも、Cisco 独自の保存域（RSA Data Security）に証明書を保存することもできます。
Return to Top
Q. VPN コンセントレータに設定するグループ名とユーザ名を同じにできますか。
A. いいえ、グループ名とユーザ名を同じにはできません。これはソフトウェア バージョン 2.5.2 および 3.0 で見られる既知の問題で、3.1.2 に統合されています。Bug Toolkit で
Cisco Bug ID CSCdw29034 を調べると、より詳細な情報を得ることができます（登録ユーザ専用）。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. Cisco VPN Client と PIX 間では、Defender などのフルチャレンジ カードはサポートされていますか。
A. いいえ、このタイプのカードはサポートされていません。
Return to Top
VPN Client ソフトウェアのバージョン
Q. VPN Client バージョン 2.5.2 以前に存在した「Set MTU Utility」オプションはどうなりましたか。
A. 現在では、VPN Client が Maximum Transmission Unit（MTU; 最大伝送ユニット）サイズを調整するようになっています。Set MTU Utility オプションは必須のインストール ステップ
ではなくなったため、Start メニューから削除されました。Set MTU Utility オプションにアクセスするには、Internet Explorer を使用します。Start > Run の順に選択して、Browse を
選択し、Cisco Systems VPN Client ディレクトリに移動して使用することもできます。
Return to Top
Q. Cisco VPN Client でサポートされているパーソナル ファイアウォールを教えてください。
A. 相互運用性の問題やパーソナル ファイアウォールのサポートについて確認するには、使用しているクライアント用のリリース ノートに記載されたシステム要件を参照してください。バ
ージョン 3.1 以降では、リモート ユーザがインストールしているパーソナル ファイアウォール ソフトウェアを検出し、該当するソフトウェアがない場合はそのユーザからの接続を禁止
する新しい機能が VPN 3000 コンセントレータに追加されています。この機能を設定するには、Configuration > User Management > Groups > Client FW の順に進み、グループのタブを選
択します。
Return to Top
Q. VPN Client 3.x を AOL 7.0 で使用する場合、接続の問題はありますか。
A. スプリット トンネリングを使用しない場合、VPN Client は AOL 7.0 で機能しません。Bug Toolkit で Cisco Bug ID CSCdx04842（ 登録ユーザ専用）を調べると、より詳細な情報を得るこ
とができます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
VPN Client ソフトウェアの設定
Q. VPN Client が 30 分後に接続解除されるのはなぜですか。この期間を延長することはできますか。
A. ユーザの接続で、30 分間、通信のアクティビティがないと、接続が終了されます。アイドル タイムアウトのデフォルト設定は 30 分になっていますが、最小 1 分から最大
2,147,483,647 分（4,000 年超）までの値に設定可能です。
Configuration > User Management > Groups の順に選択して、適切なグループ名を選択して、アイドル タイムアウトの設定を変更します。Modify Group を選択して、HW Client タブに移
動し、望ましい値を User Idle Timeout フィールドに入力します。0 を入力するとタイムアウトがディセーブルになり、無制限にアイドルが許可されます。
Return to Top
Q. Cisco VPN Client を、すべてのパラメータを事前に設定した状態で展開できますか。
A. できます。管理者は、インストール時にエンド ユーザが何も操作しなくても済むように、すべてのクライアント設定パラメータをプリセットした VPN Client インストール用フロッピ
ー ディスク セットを作成できます。事前設定の作成に関する情報は、『Cisco VPN Client に関するドキュメント』に記載されています。
Return to Top
Q. VPN Client が使用中の NIC カードと競合しているようです。どのようにトラブルシューティングすれば
よいのですか。
A. NIC カードで最新のドライバが稼働していることを確認します。これは常に行うことを推奨いたします。可能であれば、問題がオペレーティング システム、PC ハードウェア、および他
の NIC カードに固有であるかどうかを確認するために、テストを行ってください。
Return to Top
Q. ダイヤルアップ ネットワークからの VPN Client 接続を自動化するにはどうすればよいのですか。
A. VPN 接続へのダイヤルアップを完全に自動化するには、Options > Properties > Connections の順に選択して、ダイヤルアップ ネットワークの電話帳エントリを VPN Client がプルダ
ウンできるように設定します。
Return to Top
Q. VPN Client のアップデートについてリモート ユーザに通知するには、Cisco VPN 3000 コンセントレータ
をどのように設定すればよいのですか。
A. 『クライアントのアップデートのリモート ユーザへの通知』を参照してください。このプロセスのステップ 6 に記載されているとおり、必ずリリース情報を「(Rel)」と入力してくだ
さい。
Return to Top
Q. 特に「Start Before Logon」オプションがイネーブルになっている場合、VPN Client が表示される前に遅
延が生じる原因は何でしょうか。
A. VPN Client が「フォール バック」モードで動作しています。このことが遅延に影響しています。VPN Client をアンインストールし、問題のアプリケーションを削除して、「フォール
バック」モードにならずに起動できるようにします。その後、VPN Client を再インストールします。
Bug Toolkit で Cisco Bug ID CSCdt88922（登録ユーザ専用）と CSCdt55739（ 登録ユーザ専用）を調べると、より詳細な情報を得ることができます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。
Return to Top
Q. ipsecdialer.exe と vpngui.exe の違いは何ですか。Windows XP のスタートアップに vpngui.exe がイン
ストールされているのに、会社のリソースにアクセスするために ipsecdialer.exe を手動で起動する必要が
あるのはなぜですか。サイズの違いを除けば、これらのプログラムは同じことをして会社のネットワークに
VPN ログオンしているように見えます。
A. ipsecdialer.exe はもともと VPN Client 3.x の起動メカニズムでした。GUI がバージョン 4.x で変更された際に、vpngui.exe という新しい実行可能ファイルが作成されました。
ipsecdialer.exe ファイルは下位互換性のために名前のみを継承したものであり、単に vpngui.exe を起動するだけです。ファイル サイズが異なっているのはこのためです。
したがって、VPN Client を 4.x から 3.x にダウングレードすると、ipsecdialer.exe ファイルを使用して VPN Client を起動する必要があります。
Return to Top
Q. VPN の起動アイコンを安全に削除できますか。これはなぜ必要なのですか。
A. スタートアップ フォルダ内の VPN Client は、「Start Before Logon」機能をサポートします。この機能を使用しない場合、スタートアップ フォルダにこのアイコンを置く必要はあり
ません。
Return to Top
Q. 「user_logon」が追加されましたが、ipsecdialer.exe のショートカットに追加されていないのはなぜで
すか。「user_logon」の目的は何ですか。
A. 「Start Before Logon」機能では「user_logon」が必要ですが、ユーザによる VPN Client の通常の起動では「user_logon」は不要です。
Return to Top
NAT/PAT の問題
Q. Port Address Translation（PAT; ポート アドレス変換）デバイスを経由して接続できるのが、1 つの
VPN Client（リリース 3.3 以前）だけであるという問題が発生しています。この問題を改善するにはどうす
ればよいのですか。
A. 複数の Network Address Translation（NAT; ネットワーク アドレス変換）および PAT の実装に不具合があり、1024 未満のポートが変換されない原因となっていました。VPN Client
3.1 では、NAT 透過性がイネーブルになっている場合でも、Internet Security Association and Key Management Protocol（ISAKMP）セッションで UDP 512 が使用されます。最初の VPN
Client が PAT デバイスを通過すると、Outside の送信元ポート 512 が確保されます。2 番目の VPN Client が接続するときには、ポート 512 はすでに使用中になっています。そのた
め、接続に失敗します。
考えられる回避策は 3 つあります。
PAT デバイスを修理する。
VPN Client を 3.4 にアップグレードし、TCP カプセル化を使用する。
すべての VPN Client に代えて VPN 3002 をインストールする。
Return to Top
Q. VPN Client を使用して同じ場所から 2 台のラップトップ コンピュータを接続できますか。
A. SOHO ルータやファイアウォールなどの PAT を実行するデバイスの背後にクライアントが両方とも位置するのでない限りは、2 台のクライアントを同じ場所から同じヘッド エンドに接
続できます。多くの PAT デバイスでは、1 つの VPN 接続をその背後のクライアントにマッピングできますが、2 つをマッピングすることはできません。PAT デバイスの背後の同じ場所か
ら 2 台の VPN Client を接続できるようにするためには、NAT-T、IPSec over UDP、IPSec over TCP など、何らかのカプセル化をヘッド エンドでイネーブルにします。一般には、クライ
アントとヘッド エンドの間に NAT デバイスが存在する場合は、NAT-T か別のカプセル化をイネーブルにします。
Return to Top
その他
Q. ラップトップを使用してオフィスのネットワークに接続し、その後ラップトップを自宅に持ち帰って自宅
から VPN 3000 コンセントレータに接続しようとすると、うまく接続できません。何が問題なのですか。
A. ラップトップに LAN 接続からのルーティング情報が保持されている可能性があります。この問題の解決方法についての詳細は、『VPN クライアント使用時における Microsoft のルーテ
ィング問題』を参照してください。
Return to Top
Q. VPN Client が VPN コンセントレータに接続されているかどうかは、どのようにして分かりますか。
A. HKLM\Software\Cisco Systems\VPN Client\TunnelEstablished というレジストリ キーを確認します。トンネルがアクティブの場合、この値は 1 です。トンネルが存在しない場合、こ
の値は 0 です。
Return to Top
Q. VPN コンセントレータの背後の PC から VPN Client への NetMeeting 接続に問題がありますが、この
PC から VPN コンセントレータの背後の VPN Client に実行した場合は接続が機能します。これを解決するに
はどうすればよいのですか。
A. 次の該当するステップを実行して、接続設定を制御します。
PC のメインドライブで、Program Files > Cisco Systems > VPN Client > Profiles の順に選択します。使用しているプロファイルを右クリックし、サブメニューから Open With を
選択し、Notepad などのプログラムでプロファイルを開きます。（使用するプログラムを選択するときに、必ず Always use this program to open these files というボックスのチ
ェックマークをはずしてください）。ForcekeepAlives のプロファイル パラメータを探し、値を 0 から 1 に変更して、プロファイルを保存します。
または
VPN Client で、Options > Properties > General の順に選択し、この『サンプル ウィンドウ』に示されているように、「Peer response timeout」の値を入力します。タイムアウトの間
隔は 30 480 秒の範囲で指定できます。
または
VPN コンセントレータで、Configuration > User Management > Groups > modify group の順に選択します。IPsec タブで、この『サンプル ウィンドウ』に示すように、IKE キープ
アライブのオプションを選択します。
Dead Peer Detection（DPD）のインターバルは、間隔設定によって異なります。応答が受信されなくなると、さらにアグレッシブなモードに移行し、ピア応答のしきい値に達するまで 5 秒
ごとにパケットが送信されます。その時点で、接続が切断（クリア）されます。キープアライブはディセーブルにできますが、そうすると、接続が実際に切断された場合は、タイムアウト
になるまで待機する必要があります。最初は間隔値をきわめて低く設定することを推奨いたします。
Return to Top
関連情報
Cisco VPN 3000 Client に関するサポート ページ（英語）
Cisco VPN Client に関するサポート ページ（英語）
一般的な L2L およびリモート アクセス IPSec VPN のトラブルシューティング方法について
テクニカルサポートとドキュメント：シスコシステムズ
Return to Top
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2009 年 5 月 26 日
http://www.cisco.com/cisco/web/support/JP/102/1020/1020616_vpnclientfaq-j.html
Document ID: 45102