Konfigurieren des VPN 3000 Concentrator PPTP mit Cisco Secure ACS für die Windows RADIUS-Authentifizierung

Einführung

Der Cisco VPN 3000 Concentrator unterstützt die PPTP-Tunneling-Methode (Point-to-Point Tunnel Protocol) für native Windows-Clients. Der Konzentrator unterstützt 40-Bit- und 128-Bit-Verschlüsselung für eine sichere und zuverlässige Verbindung. In diesem Dokument wird beschrieben, wie PPTP auf einem VPN 300-Konzentrator mit Cisco Secure ACS für Windows für die RADIUS-Authentifizierung konfiguriert wird.

Weitere Informationen finden Sie unter Konfigurieren der Cisco Secure PIX Firewall zum Verwenden von PPTP zum Konfigurieren von PPTP-Verbindungen zum PIX.

Informationen zum Einrichten einer PC-Verbindung mit dem Router finden Sie unter Konfigurieren der sicheren Cisco ACS für die PPTP-Authentifizierung des Windows-Routers. Diese stellt eine Benutzerauthentifizierung für den Cisco Secure Access Control System (ACS) 3.2 für Windows-Server bereit, bevor Sie den Benutzer in das Netzwerk einbinden.

Bevor Sie beginnen

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.

Voraussetzungen

In diesem Dokument wird davon ausgegangen, dass die lokale PPTP-Authentifizierung funktioniert, bevor Cisco Secure ACS für die Windows RADIUS-Authentifizierung hinzugefügt wird. Weitere Informationen zur lokalen PPTP-Authentifizierung finden Sie unter Konfigurieren des VPN 3000 Concentrator PPTP mit lokaler Authentifizierung. Eine vollständige Liste der Anforderungen und Einschränkungen finden Sie unter Wann wird PPTP-Verschlüsselung von einem Cisco VPN 3000-Concentrator unterstützt?

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den unten stehenden Software- und Hardwareversionen.

• Cisco Secure ACS für Windows 2.5 und höher

• VPN 300 Concentrator, Versionen 2.5.2.C und höher (Diese Konfiguration wurde mit Version 4.0.x verifiziert.)

Die in diesem Dokument enthaltenen Informationen wurden aus Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Sie in einem Live-Netzwerk arbeiten, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen, bevor Sie es verwenden.

Netzwerkdiagramm

In diesem Dokument wird die im Diagramm unten dargestellte Netzwerkeinrichtung verwendet.

Konfigurieren des VPN 3000-Konzentrators

Hinzufügen und Konfigurieren von Cisco Secure ACS für Windows

Führen Sie diese Schritte aus, um den VPN-Konzentrator für die Verwendung von Cisco Secure ACS für Windows zu konfigurieren.

1. Gehen Sie im VPN 300-Konzentrator zu Configuration > System > Servers > Authentication Servers und fügen Sie Cisco Secure ACS für Windows-Server und -Schlüssel hinzu ("cisco123" in diesem Beispiel).

   

2. Fügen Sie in Cisco Secure ACS für Windows den VPN-Konzentrator zur ACS-Server-Netzwerkkonfiguration hinzu, und identifizieren Sie den Wörterbuchtyp.

   

3. Gehen Sie in Cisco Secure ACS für Windows zu Schnittstellenkonfiguration > RADIUS (Microsoft) und überprüfen Sie die Microsoft Point-to-Point Encryption (MPPE)-Attribute, sodass die Attribute in der Gruppenschnittstelle angezeigt werden.

   

4. Fügen Sie in Cisco Secure ACS für Windows einen Benutzer hinzu. Fügen Sie in der Benutzergruppe die MPPE-Attribute (Microsoft RADIUS) hinzu, falls Sie zu einem späteren Zeitpunkt eine Verschlüsselung benötigen.

   

5. Gehen Sie im VPN 300-Konzentrator zu Configuration > System > Servers > Authentication Servers. Wählen Sie einen Authentifizierungsserver aus der Liste aus, und wählen Sie dann Test aus. Testen Sie die Authentifizierung vom VPN Concentrator zum Cisco Secure ACS für Windows-Server, indem Sie einen Benutzernamen und ein Kennwort eingeben.

   Bei einer guten Authentifizierung sollte der VPN Concentrator die Meldung "Authentication Successful" (Authentifizierung erfolgreich) anzeigen. Fehler in Cisco Secure ACS für Windows werden in Berichten und Aktivitäten protokolliert > Fehlgeschlagene Versuche. Bei einer Standardinstallation werden diese Berichte auf der Festplatte unter C:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts gespeichert.

   

6. Da Sie nun überprüft haben, ob die Authentifizierung vom PC zum VPN-Concentrator funktioniert und vom Konzentrator zum Cisco Secure ACS für Windows-Server, können Sie den VPN-Concentrator neu konfigurieren, um PPTP-Benutzer an Cisco Secure ACS für Windows RADIUS zu senden, indem Sie die Cisco Secure ACS für Windows-Server an die oberste Stelle der Serverliste verschieben. Gehen Sie dazu im VPN Concentrator zu Configuration > System > Servers > Authentication Servers.

   

7. Gehen Sie zu Konfiguration > Benutzerverwaltung > Basisgruppe, und wählen Sie die Registerkarte PPTP/L2TP aus. Stellen Sie in der VPN Concentrator-Basisgruppe sicher, dass die Optionen für PAP und MSCHAPv1 aktiviert sind.

   

8. Wählen Sie die Registerkarte Allgemein, und stellen Sie sicher, dass PPTP im Abschnitt Tunneling Protocols (Tunneling-Protokolle) zugelassen ist.

   

9. Testen Sie die PPTP-Authentifizierung mit dem Benutzer im Cisco Secure ACS für Windows RADIUS-Server. Wenn dies nicht funktioniert, lesen Sie den Abschnitt Debuggen.

MPPE (Verschlüsselung) hinzufügen

Wenn die Cisco Secure ACS für die Windows RADIUS PPTP-Authentifizierung ohne Verschlüsselung funktioniert, können Sie dem VPN 3000 Concentrator MPPE hinzufügen.

1. Gehen Sie im VPN Concentrator zu Configuration > User Management > Base Group.

2. Aktivieren Sie im Abschnitt für die PPTP-Verschlüsselung die Optionen Required, 40-bit und 128-bit. Da nicht alle PCs sowohl die 40-Bit- als auch die 128-Bit-Verschlüsselung unterstützen, überprüfen Sie beide Optionen, um Verhandlungen zuzulassen.

3. Aktivieren Sie im Abschnitt für PPTP-Authentifizierungsprotokolle die Option für MSCHAPv1. (Sie haben die Benutzerattribute für Cisco Secure ACS für Windows 2.5 zur Verschlüsselung bereits zuvor konfiguriert.)

   

   Hinweis: Der PPTP-Client sollte für eine optimale oder erforderliche Datenverschlüsselung und MSCHAPv1 (falls eine Option verfügbar ist) erkannt werden.

Hinzufügen von Buchhaltung

Nachdem Sie die Authentifizierung eingerichtet haben, können Sie dem VPN Concentrator Accounting hinzufügen. Gehen Sie zu Configuration > System > Servers > Accounting Servers, und fügen Sie den Cisco Secure ACS für Windows-Server hinzu.

In Cisco Secure ACS für Windows werden die Accounting-Datensätze wie folgt angezeigt.

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,Acct-Session-Id,
   Acct-Session-Time,Service-Type,Framed-Protocol,Acct-Input-Octets,Acct-Output-Octets,
   Acct-Input-Packets,Acct-Output-Packets,Framed-IP-Address,NAS-Port,NAS-IP-Address
03/18/2000,08:16:20,CSNTUSER,Default Group,,Start,8BD00003,,Framed,
   PPP,,,,,1.2.3.4,1163,10.2.2.1
03/18/2000,08:16:50,CSNTUSER,Default Group,,Stop,8BD00003,30,Framed,
   PPP,3204,24,23,1,1.2.3.4,1163,10.2.2.1

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.

Aktivieren des Debuggens

Wenn Verbindungen nicht funktionieren, können Sie dem VPN Concentrator PPTP- und AUTH-Ereignisklassen hinzufügen, indem Sie Configuration > System > Events > Classes > Modify wählen. Sie können auch PPTPDBG-, PPTPDECODE-, AUTHDBG- und AUTHDECODE-Ereignisklassen hinzufügen, diese Optionen können jedoch zu viele Informationen bereitstellen.

Sie können das Ereignisprotokoll abrufen, indem Sie Monitoring > Event Log (Überwachung > Ereignisprotokoll) aufrufen.

Debugger - Gute Authentifizierung

Gute Debug-Vorgänge im VPN-Concentrator ähneln dem folgenden Beispiel.

1 12/06/2000 09:26:16.390 SEV=4 PPTP/47 RPT=20 10.44.17.179
Tunnel to peer 161.44.17.179 established
2 12/06/2000 09:26:16.390 SEV=4 PPTP/42 RPT=20 10.44.17.179
Session started on tunnel 161.44.17.179
3 12/06/2000 09:26:19.400 SEV=7 AUTH/12 RPT=22
Authentication session opened: handle = 22
4 12/06/2000 09:26:19.510 SEV=6 AUTH/4 RPT=17 10.44.17.179
Authentication successful: handle = 22, server = 10.2.2.5,
user = CSNTUSER
5 12/06/2000 09:26:19.510 SEV=5 PPP/8 RPT=17 10.44.17.179
User [ CSNTUSER ]
Authenticated successfully with MSCHAP-V1
6 12/06/2000 09:26:19.510 SEV=7 AUTH/13 RPT=22
Authentication session closed: handle = 22
7 12/06/2000 09:26:22.560 SEV=4 AUTH/21 RPT=30
User CSNTUSER connected

Mögliche Fehler

Eventuell treten Fehler wie unten dargestellt auf.

Ungültiger Benutzername oder falsches Kennwort auf dem Cisco Secure ACS für Windows RADIUS-Server

• VPN 3000 Concentrator Debug-Ausgabe

  6 12/06/2000 09:33:03.910 SEV=4 PPTP/47 RPT=21 10.44.17.179
  Tunnel to peer 10.44.17.179 established
  
  7 12/06/2000 09:33:03.920 SEV=4 PPTP/42 RPT=21 10.44.17.179
  Session started on tunnel 10.44.17.179
  
  8 12/06/2000 09:33:06.930 SEV=7 AUTH/12 RPT=23 
  Authentication session opened: handle = 23
  
  9 12/06/2000 09:33:07.050 SEV=3 AUTH/5 RPT=4 10.44.17.179
  Authentication rejected: Reason = Unspecified
  handle = 23, server = 10.2.2.5, user = baduser
  
  11 12/06/2000 09:33:07.050 SEV=5 PPP/9 RPT=4 10.44.17.179
  User [ baduser ]
  disconnected.. failed authentication ( MSCHAP-V1 )
  
  12 12/06/2000 09:33:07.050 SEV=7 AUTH/13 RPT=23
  Authentication session closed: handle = 23

• Cisco Secure ACS für Windows-Protokollausgabe

  03/18/2000,08:02:47,Authen failed, baduser,,,CS user 
  unknown,,,1155,10.2.2.1

• Die vom Benutzer angezeigte Meldung (aus Windows 98)

  Error 691: The computer you have dialed in to has denied access because 
  the username and/or password is invalid on the domain.

Im Konzentrator ist "MPPE Encryption Required" (MPPE-Verschlüsselung erforderlich) ausgewählt, der Cisco Secure ACS für Windows-Server ist jedoch nicht für MS-CHAP-MPPE-Keys und MS-CHAP-MPPE-Typen konfiguriert.

• VPN 3000 Concentrator Debug-Ausgabe

  Wenn AUTHDECODE (1-13 Schweregrad) und PPTP-Debuggen (1-9 Schweregrad) aktiviert sind, zeigt das Protokoll, dass der Cisco Secure ACS für Windows-Server das anbieterspezifische Attribut 26 (0x1A) im access-accept vom Server (partielles Protokoll) nicht sendet.

  2221 12/08/2000 10:01:52.360 SEV=13 AUTHDECODE/0 RPT=545 
  0000: 024E002C 80AE75F6 6C365664 373D33FE     .N.,..u.l6Vd7=3.
  0010: 6DF74333 501277B2 129CBC66 85FFB40C     m.C3P.w....f....
  0020: 16D42FC4 BD020806 FFFFFFFF                 ../.........
  
  2028 12/08/2000 10:00:29.570 SEV=5 PPP/13 RPT=12 10.44.17.179 
  User [ CSNTUSER ] disconnected. Data encrypt required. Auth server 
  or auth protocol will not support encrypt.

• Die Protokollausgabe von Cisco Secure ACS für Windows zeigt keine Fehler an.

• Die vom Benutzer angezeigte Nachricht

  Error 691: The computer you have dialed in to has denied access because 
  the username and/or password is invalid on the domain.

Zugehörige Informationen

• Support-Seite für Cisco VPN Concentrator der Serie 3000
• Cisco VPN Client Support-Seite der Serie 3000
• IPSec-Support-Seite
• Support-Seite für Cisco Secure ACS für Windows
• RADIUS-Support-Seite
• PPTP-Support-Seite
• RFC 2637: Point-to-Point Tunneling Protocol (PPTP)
• Anforderungen für Kommentare (RFCs)
• Technischer Support und Dokumentation - Cisco Systems