So konfigurieren Sie VPN 3000 Concentrator PPTP mit lokaler Authentifizierung

Download-Optionen

  • PDF     (549.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (445.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (849.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:6. Dezember 2006
Dokument-ID:14101

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Der Cisco VPN 3000 Concentrator unterstützt das PPTP-Tunneling (Point-to-Point Tunnel Protocol) für native Windows-Clients. Die VPN Concentrators unterstützen eine sichere und zuverlässige Verbindung durch 40-Bit- und 128-Bit-Verschlüsselung.

Weitere Informationen finden Sie unter Configuring the VPN 3000 Concentrator PPTP With Cisco Secure ACS for Windows RADIUS Authentication, um den VPN Concentrator für PPTP-Benutzer mit erweiterter Authentifizierung über den Cisco Secure Access Control Server (ACS) zu konfigurieren.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie die unter Wann wird PPTP-Verschlüsselung auf einem Cisco VPN 3000 Concentrator unterstützt? genannten Voraussetzungen erfüllen, bevor Sie diese Konfiguration vornehmen.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • VPN 3015 Concentrator mit Version 4.0.4.A

  • Windows-PC mit PPTP-Client

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

altigapptp-diag.gif

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren des VPN 3000 Concentrator mit lokaler Authentifizierung

Gehen Sie wie folgt vor, um den VPN 3000 Concentrator mit lokaler Authentifizierung zu konfigurieren:

  1. Konfigurieren Sie die entsprechenden IP-Adressen im VPN Concentrator, und stellen Sie sicher, dass eine Verbindung besteht.

  2. Stellen Sie sicher, dass auf der Registerkarte Configuration > User Management > Base Group PPTP/L2TP die Option PAP authentication ausgewählt ist.

    altigapptp-1.gif

  3. Wählen Sie Configuration > System > Tunneling Protocols > PPTP aus, und stellen Sie sicher, dass Enabled aktiviert ist.

    altigapptp-2.gif

  4. Wählen Sie Configuration > User Management > Groups > Add aus, und konfigurieren Sie eine PPTP-Gruppe. In diesem Beispiel lautet der Gruppenname "pptpgroup", und das Kennwort (und das Kennwort bestätigen) lautet "cisco123".

    altigapptp-3.gif

  5. Vergewissern Sie sich auf der Registerkarte Allgemein der Gruppe, dass die PPTP-Option in den Authentifizierungsprotokollen aktiviert ist.

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. Aktivieren Sie auf der Registerkarte PPTP/L2TP die PAP-Authentifizierung, und deaktivieren Sie die Verschlüsselung (die Verschlüsselung kann zu einem beliebigen Zeitpunkt aktiviert werden).

    altigapptp-5.gif

  7. Wählen Sie Configuration > User Management > Users > Add aus, und konfigurieren Sie einen lokalen Benutzer (mit dem Namen "pptpuser") mit dem Kennwort cisco123 für die PPTP-Authentifizierung. Fügen Sie den Benutzer der zuvor definierten "pptpgroup" hinzu:

    altigapptp-6.gif

  8. Stellen Sie sicher, dass die PPTP-Option auf der Registerkarte General (Allgemein) für den Benutzer in Tunneling Protocols (Tunnelprotokollen) aktiviert ist.

    altigapptp-7.gif

  9. Wählen Sie Configuration > System > Address Management > Pools aus, um einen Adresspool für die Adressverwaltung zu definieren.

    altigapptp-8.gif

  10. Wählen Sie Configuration > System > Address Management > Assignment aus, und weisen Sie den VPN Concentrator an, den Adresspool zu verwenden.

    altigapptp-9.gif

Konfiguration des Microsoft PPTP-Clients

Hinweis: Keine der hier verfügbaren Informationen zur Konfiguration von Microsoft-Software umfasst eine Garantie oder einen Support für Microsoft-Software. Support für Microsoft-Software ist von Microsoftleavingcisco.comerhältlich.

Windows 98 - Installieren und Konfigurieren der PPTP-Funktion

Install 

Führen Sie diese Schritte aus, um die PPTP-Funktion zu installieren.

  1. Wählen Sie Start > Einstellungen > Systemsteuerung > Neue Hardware hinzufügen (Weiter) > Aus Liste auswählen > Netzwerkadapter (Weiter).

  2. Wählen Sie im linken Bereich Microsoft und im rechten Bereich Microsoft VPN Adapter aus.

Konfigurieren

Führen Sie die folgenden Schritte aus, um die PPTP-Funktion zu konfigurieren.

  1. Wählen Sie Start > Programme > Zubehör > Kommunikation > DFÜ-Netzwerk > Neue Verbindung herstellen aus.

  2. Stellen Sie über den Microsoft VPN-Adapter an der Eingabeaufforderung Select a device eine Verbindung her. Die IP-Adresse des VPN-Servers ist der Endpunkt des Tunnels 3000.

Die Windows 98-Standardauthentifizierung verwendet die Kennwortverschlüsselung (z. B. CHAP oder MSCHAP). Um diese Verschlüsselung zunächst zu deaktivieren, wählen Sie Eigenschaften > Servertypen aus, und deaktivieren Sie die Kästchen Verschlüsseltes Kennwort und Datenverschlüsselung erforderlich.

Windows 2000 - Konfigurieren der PPTP-Funktion

Führen Sie die folgenden Schritte aus, um die PPTP-Funktion zu konfigurieren.

  1. Wählen Sie Start > Programme > Zubehör > Kommunikation > Netzwerk- und DFÜ-Verbindungen > Neue Verbindung herstellen aus.

  2. Klicken Sie auf Weiter, und wählen Sie Verbindung mit einem privaten Netzwerk über das Internet herstellen > Verbindung vorher wählen aus (diese Option ist bei Verwendung eines LAN nicht verfügbar).

  3. Klicken Sie erneut auf Next (Weiter), und geben Sie den Hostnamen oder die IP-Adresse des Tunnelendpunkts ein, der bzw. die die externe Schnittstelle des VPN 3000 Concentrator darstellt. In diesem Beispiel ist die IP-Adresse 161.44.17.1.

Wählen Sie Eigenschaften > Sicherheit für die Verbindung > Erweitert aus, um einen Kennworttyp als PAP hinzuzufügen. Der Standardwert ist "MSCHAP" und "MSCHAPv2", nicht "CHAP" oder "PAP".

Die Datenverschlüsselung ist in diesem Bereich konfigurierbar. Sie können die Funktion zunächst deaktivieren.

Windows NT

Informationen zum Einrichten von Windows NT-Clients für PPTP finden Sie auf der Microsoft-Websiteleavingcisco.com.

Windows Vista

Führen Sie die folgenden Schritte aus, um die PPTP-Funktion zu konfigurieren.

  1. Klicken Sie auf der Schaltfläche Start auf Verbinden mit.

  2. Wählen Sie Verbindung oder Netzwerk einrichten aus.

  3. Wählen Sie Verbindung mit dem Arbeitsplatz herstellen aus, und klicken Sie auf Weiter.

  4. Wählen Sie Internetverbindung (VPN) verwenden aus.

    Hinweis: Wenn Sie zur Eingabe von "Möchten Sie eine bereits vorhandene Verbindung verwenden?" aufgefordert werden, wählen Sie "Nein", erstellen Sie eine neue Verbindung, und klicken Sie auf "Weiter".

  5. Geben Sie beispielsweise pptp.vpn.univ.edu in das Feld Internet Address (Internetadresse) ein.

  6. Geben Sie im Feld Zielname beispielsweise UNIVVPN ein.

  7. Geben Sie im Feld Benutzername Ihre UNIV-Anmelde-ID ein. Ihre UNIV Logon ID ist der Teil Ihrer E-Mail-Adresse vor @univ.edu.

  8. Geben Sie im Feld Kennwort Ihr Kennwort für die UNIV-Anmelde-ID ein.

  9. Klicken Sie auf die Schaltfläche Erstellen und dann auf die Schaltfläche Schließen.

  10. Um nach dem Herstellen der VPN-Verbindung eine Verbindung zum VPN-Server herzustellen, klicken Sie auf Start und dann auf Connect to (Verbindung herstellen).

  11. Wählen Sie die VPN-Verbindung im Fenster aus, und klicken Sie auf Verbinden.

MPPE hinzufügen (Verschlüsselung)

Stellen Sie sicher, dass die PPTP-Verbindung ohne Verschlüsselung funktioniert, bevor Sie die Verschlüsselung hinzufügen. Klicken Sie beispielsweise auf die Schaltfläche Verbinden des PPTP-Clients, um sicherzustellen, dass die Verbindung abgeschlossen ist. Wenn Sie eine Verschlüsselung benötigen, muss die MSCHAP-Authentifizierung verwendet werden. Wählen Sie auf dem VPN 3000 Configuration > User Management > Groups (Konfiguration > Benutzerverwaltung > Gruppen). Deaktivieren Sie dann auf der Registerkarte PPTP/L2TP für die Gruppe PAP, aktivieren Sie MSCHAPv1, und aktivieren Sie Erforderlich für PPTP-Verschlüsselung.

altigapptp-10.gif

Der PPTP-Client muss für die optionale oder erforderliche Datenverschlüsselung und für MSCHAPv1 (falls optional) neu konfiguriert werden.

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Überprüfen des VPN-Konzentrators

Sie können die PPTP-Sitzung starten, indem Sie den zuvor im Abschnitt Microsoft PPTP Client Configuration erstellten PPTP-Client wählen.

Über das Fenster Administration > Administer Sessions (Verwaltung > Sitzungen verwalten) im VPN Concentrator können Sie die Parameter und Statistiken für alle aktiven PPTP-Sitzungen anzeigen.

PC überprüfen

Führen Sie den Befehl ipconfig im Befehlsmodus des PCs aus, um sicherzustellen, dass der PC über zwei IP-Adressen verfügt. Die eine ist die eigene IP-Adresse, die andere wird vom VPN Concentrator aus dem IP-Adresspool zugewiesen. In diesem Beispiel ist die IP-Adresse 172.16.1.10 die vom VPN Concentrator zugewiesene IP-Adresse.

altigapptp-15.gif

Fehlersuche

Wenn die Verbindung nicht funktioniert, kann die PPTP-Ereignisklasse debug zum VPN Concentrator hinzugefügt werden. Wählen Sie Configuration > System > Events > Classes > Modify or Add (hier abgebildet) aus. PPTPDBG- und PPTPDECODE-Ereignisklassen sind ebenfalls verfügbar, stellen aber möglicherweise zu viele Informationen bereit.

altigapptp-11.gif

Das Ereignisprotokoll kann von Monitoring > Filterable Event Log abgerufen werden.

altigapptp-12.gif

VPN 3000-Debugging - gute Authentifizierung 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Klicken Sie auf das Fenster PPTP-Benutzerstatus Details, um die Parameter auf dem Windows-PC zu überprüfen.

altigapptp-16.gif

Fehlerbehebung

Dies sind mögliche Fehler, denen Sie begegnen können:

  • Ungültiger Benutzername oder falsches Kennwort

    VPN 3000 Concentrator Debug-Ausgabe: 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    Die Meldung, die der Benutzer sieht (von Windows 98 aus): 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    Die Meldung, die der Benutzer sieht (von Windows 2000):

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • "Encryption Required" (Verschlüsselung erforderlich) ist auf dem PC ausgewählt, jedoch nicht auf dem VPN Concentrator.

    Die Nachricht, die der Benutzer sieht (von Windows 98): 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    Die Nachricht, die der Benutzer sieht (von Windows 2000): 

    Error 742: The remote computer does not support 
the required data encryption type

  • "Encryption Required" (128-Bit) wird auf dem VPN Concentrator mit einem PC ausgewählt, der nur 40-Bit-Verschlüsselung unterstützt.

    VPN 3000 Concentrator Debug-Ausgabe: 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    Die Nachricht, die der Benutzer sieht (von Windows 98): 

    Error 742:  The remote computer does not support 
the required data encryption type.

    Die Nachricht, die der Benutzer sieht (von Windows 2000): 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • Der VPN 3000 Concentrator ist für MSCHAPv1 und der PC für PAP konfiguriert, jedoch kann keine Authentifizierungsmethode vereinbart werden.

    VPN 3000 Concentrator Debug-Ausgabe: 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    Die Nachricht, die der Benutzer sieht (von Windows 2000): 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

Mögliche Microsoft-Probleme, die behoben werden müssen

  • So halten Sie RAS-Verbindungen nach dem Abmelden aktiv

    Wenn Sie sich von einem RAS-Client (Windows Remote Access Service) abmelden, werden alle RAS-Verbindungen automatisch getrennt. Aktivieren Sie den KeepRasConnections-Schlüssel in der Registrierung auf dem RAS-Client, damit die Verbindung nach der Abmeldung erhalten bleibt. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel - 158909leavingcisco.com.

  • Benutzer wird bei der Anmeldung mit zwischengespeicherten Anmeldeinformationen nicht gewarnt

    Symptome dieses Problems sind, wenn Sie versuchen, sich von einer Windows-basierten Workstation oder einem Mitgliedsserver an einer Domäne anzumelden, und wenn kein Domänencontroller gefunden wird und keine Fehlermeldung angezeigt wird. Stattdessen werden Sie mit zwischengespeicherten Anmeldeinformationen am lokalen Computer angemeldet. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel - 242536leavingcisco.com.

  • So schreiben Sie eine LMHOSTS-Datei zur Domänenvalidierung und für andere Probleme bei der Namensauflösung

    Es kann vorkommen, dass Probleme mit der Namensauflösung in Ihrem TCP/IP-Netzwerk auftreten und Sie LMHOSTS-Dateien verwenden müssen, um NetBIOS-Namen aufzulösen. In diesem Artikel wird die richtige Methode zum Erstellen einer LMHOSTS-Datei beschrieben, um die Namensauflösung und die Domänenvalidierung zu unterstützen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel - 18094leavingcisco.com.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
11-Dec-2001
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren