Configuration du PPTP du concentrateur VPN 3000 avec Cisco Secure ACS pour Windows pour authentification RADIUS

Introduction

Le concentrateur Cisco VPN 3000 prend en charge la méthode de tunnellisation PPTP (Point-to-Point Tunnel Protocol) pour les clients Windows natifs. Le concentrateur prend en charge le cryptage 40 bits et 128 bits pour une connexion sécurisée et fiable. Ce document décrit comment configurer PPTP sur un concentrateur VPN 3000 avec Cisco Secure ACS pour l'authentification RADIUS pour Windows.

Reportez-vous à Configuration du pare-feu Cisco Secure PIX Firewall pour utiliser PPTP pour configurer les connexions PPTP au PIX.

Référez-vous à Configuration de Cisco Secure ACS pour l'authentification PPTP du routeur Windows pour configurer une connexion PC au routeur ; ceci fournit l'authentification utilisateur au système de contrôle d'accès sécurisé Cisco (ACS) 3.2 pour le serveur Windows avant d'autoriser l'utilisateur à accéder au réseau.

Avant de commencer

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Conditions préalables

Ce document suppose que l'authentification PPTP locale fonctionne avant d'ajouter l'authentification Cisco Secure ACS pour Windows RADIUS. Consultez Comment configurer le concentrateur VPN 3000 PPTP avec l'authentification locale pour plus d'informations sur l'authentification PPTP locale. Pour obtenir une liste complète des exigences et restrictions, consultez Quand le chiffrement PPTP est-il pris en charge sur un concentrateur VPN Cisco 3000 ?

Components Used

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

• Cisco Secure ACS pour Windows versions 2.5 et ultérieures

• VPN 3000 Concentrator versions 2.5.2.C et ultérieures (cette configuration a été vérifiée avec la version 4.0.x.)

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

Configuration du concentrateur VPN 3000

Ajout et configuration de Cisco Secure ACS pour Windows

Procédez comme suit pour configurer le concentrateur VPN afin qu'il utilise Cisco Secure ACS pour Windows.

1. Sur le concentrateur VPN 3000, accédez à Configuration > System > Servers > Authentication Servers et ajoutez le serveur et la clé Cisco Secure ACS pour Windows (« cisco123 » dans cet exemple).

   

2. Dans Cisco Secure ACS pour Windows, ajoutez le concentrateur VPN à la configuration réseau du serveur ACS et identifiez le type de dictionnaire.

   

3. Dans Cisco Secure ACS pour Windows, accédez à Configuration d'interface > RADIUS (Microsoft) et vérifiez les attributs MPPE (Microsoft Point-to-Point Encryption) de sorte que les attributs apparaissent dans l'interface de groupe.

   

4. Dans Cisco Secure ACS pour Windows, ajoutez un utilisateur. Dans le groupe de l'utilisateur, ajoutez les attributs MPPE (Microsoft RADIUS), au cas où vous auriez besoin d'un cryptage ultérieur.

   

5. Sur le concentrateur VPN 3000, accédez à Configuration > System > Servers > Authentication Servers. Sélectionnez un serveur d'authentification dans la liste, puis sélectionnez Test. Testez l'authentification du concentrateur VPN vers le serveur Cisco Secure ACS pour Windows en entrant un nom d'utilisateur et un mot de passe.

   Sur une bonne authentification, le concentrateur VPN doit afficher un message « Authentication Success ». Les échecs de Cisco Secure ACS pour Windows sont consignés dans Rapports et activité > Tentatives échouées. Dans une installation par défaut, ces rapports sont stockés sur le disque dans C:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts.

   

6. Puisque vous avez maintenant vérifié l'authentification du PC au concentrateur VPN fonctionne et du concentrateur au serveur Cisco Secure ACS pour Windows, vous pouvez reconfigurer le concentrateur VPN pour envoyer des utilisateurs PPTP à Cisco Secure ACS pour Windows RADIUS en plaçant le serveur Cisco Secure ACS pour Windows en haut de la liste des serveurs. Pour ce faire sur le concentrateur VPN, accédez à Configuration > System > Servers > Authentication Servers.

   

7. Accédez à Configuration > User Management > Base Group et sélectionnez l'onglet PPTP/L2TP. Dans le groupe de base du concentrateur VPN, assurez-vous que les options pour PAP et MSCHAPv1 sont activées.

   

8. Sélectionnez l'onglet Général et assurez-vous que PPTP est autorisé dans la section Tunneling Protocols.

   

9. Testez l'authentification PPTP avec l'utilisateur dans le serveur Cisco Secure ACS pour Windows RADIUS. Si cela ne fonctionne pas, consultez la section Débogage.

Ajout de MPPE (Cryptage)

Si l'authentification PPTP Cisco Secure ACS pour Windows RADIUS fonctionne sans chiffrement, vous pouvez ajouter MPPE au concentrateur VPN 3000.

1. Sur le concentrateur VPN, accédez à Configuration > User Management > Base Group.

2. Dans la section relative au cryptage PPTP, cochez les options Required, 40-bit et 128-bit. Comme tous les PC ne prennent pas en charge le cryptage 40 bits et 128 bits, cochez les deux options pour autoriser la négociation.

3. Sous la section Protocoles d'authentification PPTP, cochez l'option pour MSCHAPv1. (Vous avez déjà configuré les attributs utilisateur de Cisco Secure ACS pour Windows 2.5 pour le chiffrement à une étape antérieure.)

   

   Remarque : Le client PPTP doit être reconnu pour le chiffrement optimal ou obligatoire des données et MSCHAPv1 (si une option est disponible).

Ajout de comptabilité

Une fois l'authentification établie, vous pouvez ajouter la comptabilité au concentrateur VPN. Accédez à Configuration > System > Servers > Accounting Servers et ajoutez le serveur Cisco Secure ACS pour Windows.

Dans Cisco Secure ACS pour Windows, les enregistrements comptables apparaissent comme suit.

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,Acct-Session-Id,
   Acct-Session-Time,Service-Type,Framed-Protocol,Acct-Input-Octets,Acct-Output-Octets,
   Acct-Input-Packets,Acct-Output-Packets,Framed-IP-Address,NAS-Port,NAS-IP-Address
03/18/2000,08:16:20,CSNTUSER,Default Group,,Start,8BD00003,,Framed,
   PPP,,,,,1.2.3.4,1163,10.2.2.1
03/18/2000,08:16:50,CSNTUSER,Default Group,,Stop,8BD00003,30,Framed,
   PPP,3204,24,23,1,1.2.3.4,1163,10.2.2.1

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Activation du débogage

Si les connexions ne fonctionnent pas, vous pouvez ajouter des classes d'événements PPTP et AUTH au concentrateur VPN en accédant à Configuration > System > Events > Classes > Modify. Vous pouvez également ajouter des classes d'événements PPTPDBG, PPTPDECODE, AUTHDBG et AUTHDECODE, mais ces options peuvent fournir trop d'informations.

Vous pouvez récupérer le journal des événements en accédant à Surveillance > Journal des événements.

Débogues - Authentification correcte

Les bons débogages sur le concentrateur VPN ressembleront aux suivants.

1 12/06/2000 09:26:16.390 SEV=4 PPTP/47 RPT=20 10.44.17.179
Tunnel to peer 161.44.17.179 established
2 12/06/2000 09:26:16.390 SEV=4 PPTP/42 RPT=20 10.44.17.179
Session started on tunnel 161.44.17.179
3 12/06/2000 09:26:19.400 SEV=7 AUTH/12 RPT=22
Authentication session opened: handle = 22
4 12/06/2000 09:26:19.510 SEV=6 AUTH/4 RPT=17 10.44.17.179
Authentication successful: handle = 22, server = 10.2.2.5,
user = CSNTUSER
5 12/06/2000 09:26:19.510 SEV=5 PPP/8 RPT=17 10.44.17.179
User [ CSNTUSER ]
Authenticated successfully with MSCHAP-V1
6 12/06/2000 09:26:19.510 SEV=7 AUTH/13 RPT=22
Authentication session closed: handle = 22
7 12/06/2000 09:26:22.560 SEV=4 AUTH/21 RPT=30
User CSNTUSER connected

Erreurs possibles

Il se peut que vous rencontriez des erreurs, comme indiqué ci-dessous.

Nom d'utilisateur ou mot de passe incorrect sur le serveur Cisco Secure ACS pour Windows RADIUS

• Sortie de débogage du concentrateur VPN 3000

  6 12/06/2000 09:33:03.910 SEV=4 PPTP/47 RPT=21 10.44.17.179
  Tunnel to peer 10.44.17.179 established
  
  7 12/06/2000 09:33:03.920 SEV=4 PPTP/42 RPT=21 10.44.17.179
  Session started on tunnel 10.44.17.179
  
  8 12/06/2000 09:33:06.930 SEV=7 AUTH/12 RPT=23 
  Authentication session opened: handle = 23
  
  9 12/06/2000 09:33:07.050 SEV=3 AUTH/5 RPT=4 10.44.17.179
  Authentication rejected: Reason = Unspecified
  handle = 23, server = 10.2.2.5, user = baduser
  
  11 12/06/2000 09:33:07.050 SEV=5 PPP/9 RPT=4 10.44.17.179
  User [ baduser ]
  disconnected.. failed authentication ( MSCHAP-V1 )
  
  12 12/06/2000 09:33:07.050 SEV=7 AUTH/13 RPT=23
  Authentication session closed: handle = 23

• Sortie du journal Cisco Secure ACS pour Windows

  03/18/2000,08:02:47,Authen failed, baduser,,,CS user 
  unknown,,,1155,10.2.2.1

• Message que l'utilisateur voit (depuis Windows 98)

  Error 691: The computer you have dialed in to has denied access because 
  the username and/or password is invalid on the domain.

« Cryptage MPPE requis » est sélectionné sur le concentrateur, mais le serveur Cisco Secure ACS pour Windows n'est pas configuré pour MS-CHAP-MPPE-Keys et MS-CHAP-MPPE-Types

• Sortie de débogage du concentrateur VPN 3000

  Si AUTHDECODE (1-13 Severity) et PPTP debug (1-9 Severity) sont activés, le journal indique que le serveur Cisco Secure ACS pour Windows n'envoie pas l'attribut 26 (0x1A) spécifique au fournisseur dans le access-accept du serveur (journal partiel).

  2221 12/08/2000 10:01:52.360 SEV=13 AUTHDECODE/0 RPT=545 
  0000: 024E002C 80AE75F6 6C365664 373D33FE     .N.,..u.l6Vd7=3.
  0010: 6DF74333 501277B2 129CBC66 85FFB40C     m.C3P.w....f....
  0020: 16D42FC4 BD020806 FFFFFFFF                 ../.........
  
  2028 12/08/2000 10:00:29.570 SEV=5 PPP/13 RPT=12 10.44.17.179 
  User [ CSNTUSER ] disconnected. Data encrypt required. Auth server 
  or auth protocol will not support encrypt.

• La sortie du journal Cisco Secure ACS pour Windows ne montre aucune défaillance.

• Message que l'utilisateur voit

  Error 691: The computer you have dialed in to has denied access because 
  the username and/or password is invalid on the domain.

Informations connexes

• Page d'assistance des concentrateurs VPN Cisco 3000
• Page d'assistance du Client VPN 3000 Series Cisco
• Page d'assistance IPsec
• Cisco Secure ACS pour la page d'assistance de Windows
• Page d'assistance RADIUS
• Page de support PPTP
• RFC 2637 : Protocole de tunnellisation point à point (PPTP)
• Demandes de commentaires (RFC)
• Support et documentation techniques - Cisco Systems