Come configurare VPN 3000 Concentrator PPTP con autenticazione locale

Opzioni per il download

  • PDF     (547.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (444.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (848.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:6 dicembre 2006
ID documento:14101

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Cisco VPN 3000 Concentrator supporta il metodo di tunneling PPTP (Point-to-Point Tunnel Protocol) per client Windows nativi. Su questi concentratori VPN è disponibile il supporto della crittografia a 40 bit e a 128 bit per una connessione sicura e affidabile.

Per configurare il concentratore VPN per utenti PPTP con autenticazione estesa utilizzando il server Cisco Secure Access Control Server (ACS), consultare il documento sulla configurazione del concentratore VPN 3000 PPTP con Cisco Secure ACS per l'autenticazione RADIUS di Windows.

Prerequisiti

Requisiti

Prima di provare la configurazione, verificare che siano soddisfatti i prerequisiti indicati in Quando la crittografia PPTP è supportata su un concentratore Cisco VPN 3000?.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • VPN 3015 Concentrator con versione 4.0.4.A

  • PC Windows con client PPTP

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Esempio di rete

Il documento usa la seguente configurazione di rete:

altigapptp-diag.gif

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Configurazione di VPN 3000 Concentrator con autenticazione locale

Completare la procedura seguente per configurare VPN 3000 Concentrator con autenticazione locale.

  1. Configurare i rispettivi indirizzi IP in VPN Concentrator e verificare la presenza di connettività.

  2. Verificare che l'opzione Autenticazione PAP sia selezionata nella scheda Configurazione > Gestione utente > Gruppo di base PPTP/L2TP.

    altigapptp-1.gif

  3. Selezionare Configurazione > Sistema > Protocolli di tunneling > PPTP e verificare che Abilitato sia selezionato.

    altigapptp-2.gif

  4. Selezionare Configurazione > Gestione utente > Gruppi > Aggiungi e configurare un gruppo PPTP. Nell'esempio, il nome del gruppo è "pptpgroup" e la password (e la password di verifica) è "cisco123".

    altigapptp-3.gif

  5. Nella scheda Generale del gruppo verificare che l'opzione PPTP sia attivata nei protocolli di autenticazione.

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. Nella scheda PPTP/L2TP, abilitare l'autenticazione PAP e disabilitare la crittografia (la crittografia può essere abilitata in qualsiasi momento in futuro).

    altigapptp-5.gif

  7. Selezionare Configurazione > Gestione utente > Utenti > Aggiungi, quindi configurare un utente locale (denominato "pptpuser") con la password cisco123 per l'autenticazione PPTP. Inserire l'utente nel "pptpgroup" definito in precedenza:

    altigapptp-6.gif

  8. Nella scheda Generale relativa all'utente, verificare che l'opzione PPTP sia abilitata nei protocolli di tunneling.

    altigapptp-7.gif

  9. Selezionare Configurazione > Sistema > Gestione indirizzi > Pool per definire un pool di indirizzi per la gestione degli indirizzi.

    altigapptp-8.gif

  10. Selezionare Configurazione > Sistema > Gestione indirizzi > Assegnazione e indicare al concentratore VPN di utilizzare il pool di indirizzi.

    altigapptp-9.gif

Configurazione client PPTP Microsoft

Nota: nessuna delle informazioni disponibili qui sulla configurazione del software Microsoft è fornita con alcuna garanzia o supporto per il software Microsoft. Il supporto per il software Microsoft è disponibile presso Microsoftleavingcisco.com.

Windows 98 - Installazione e configurazione della funzionalità PPTP

Install 

Completare la procedura seguente per installare la funzionalità PPTP.

  1. Selezionare Start > Impostazioni > Pannello di controllo > Aggiungi nuovo hardware (Avanti) > Seleziona dall'elenco > Scheda di rete (Avanti).

  2. Selezionare Microsoft nel pannello sinistro e Microsoft VPN Adapter nel pannello destro.

Configurazione

Completare la procedura seguente per configurare la funzionalità PPTP.

  1. Selezionare Start > Programmi > Accessori > Comunicazioni > Accesso remoto > Crea nuova connessione.

  2. Connettersi utilizzando Microsoft VPN Adapter al prompt Select a device (Seleziona un dispositivo). L'IP del server VPN è l'endpoint del tunnel 3000.

L'autenticazione predefinita di Windows 98 utilizza la crittografia della password, ad esempio CHAP o MSCHAP. Per disabilitare inizialmente la crittografia, selezionare Proprietà > Tipi di server e deselezionare le caselle Password crittografata e Richiedi crittografia dati.

Windows 2000 - Configurazione della funzionalità PPTP

Completare la procedura seguente per configurare la funzionalità PPTP.

  1. Selezionare Start > Programmi > Accessori > Comunicazioni > Connessioni di rete e remote > Crea nuova connessione.

  2. Fare clic su Avanti e selezionare Connetti a una rete privata tramite Internet > Componi una connessione prima (non selezionare questa opzione se si utilizza una rete LAN).

  3. Fare di nuovo clic su Next (Avanti) e immettere il nome host o l'IP dell'endpoint del tunnel, che è l'interfaccia esterna di VPN 3000 Concentrator. Nell'esempio, l'indirizzo IP è 161.44.17.1.

Selezionare Proprietà > Protezione per la connessione > Avanzate per aggiungere un tipo di password come PAP. Il valore predefinito è MSCHAP e MSCHAPv2, non CHAP o PAP.

In quest'area è possibile configurare la crittografia dei dati. Inizialmente è possibile disattivarla.

Windows NT

È possibile accedere alle informazioni sulla configurazione dei client Windows NT per PPTP sul sito Web leavingcisco.comdi Microsoft.

Windows Vista

Completare la procedura seguente per configurare la funzionalità PPTP.

  1. Dal pulsante Start, scegliere Connetti a.

  2. Scegliere Configura connessione o rete.

  3. Scegliere Connetti a una rete aziendale e fare clic su Avanti.

  4. Scegliere Usa connessione Internet (VPN).

    Nota: se viene richiesto se si desidera utilizzare una connessione già esistente, scegliere No, creare una nuova connessione e fare clic su Avanti.

  5. Nel campo Indirizzo Internet, digitare pptp.vpn.univ.edu, ad esempio.

  6. Nel campo Nome destinazione, digitare UNIVVPN, ad esempio.

  7. Nel campo User Name (Nome utente), digitare l'ID di accesso UNIV. L'ID di accesso UNIV è la parte dell'indirizzo e-mail precedente a @univ.edu.

  8. Nel campo Password, digitare la password dell'ID di accesso UNIV.

  9. Fare clic sul pulsante Crea, quindi sul pulsante Chiudi.

  10. Per connettersi al server VPN dopo aver creato la connessione VPN, fare clic su Start e quindi su Connetti a.

  11. Scegliere la connessione VPN nella finestra e fare clic su Connetti.

Aggiungi MPPE (crittografia)

Prima di aggiungere la crittografia, verificare che la connessione PPTP funzioni senza crittografia. Ad esempio, fare clic sul pulsante Connect (Connetti) sul client PPTP per assicurarsi che la connessione sia stata completata. Se si decide di richiedere la crittografia, è necessario utilizzare l'autenticazione MSCHAP. Sulla VPN 3000, selezionare Configurazione > Gestione utente > Gruppi. Quindi, nella scheda PPTP/L2TP del gruppo, deselezionare PAP, selezionare MSCHAPv1 e selezionare Obbligatorio per crittografia PPTP.

altigapptp-10.gif

Il client PPTP deve essere riconfigurato per la crittografia dei dati facoltativa o obbligatoria e per MSCHAPv1 (se è un'opzione).

Verifica

Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.

Verifica di VPN Concentrator

È possibile avviare la sessione PPTP chiamando il client PPTP creato in precedenza nella sezione Configurazione client PPTP Microsoft.

Utilizzare la finestra Amministrazione > Amministra sessioni di VPN Concentrator per visualizzare i parametri e le statistiche per tutte le sessioni PPTP attive.

Verifica il PC

Eseguire il comando ipconfig nella modalità di comando del PC per verificare che disponga di due indirizzi IP. Uno è il proprio indirizzo IP e l'altro è assegnato dal concentratore VPN dal pool di indirizzi IP. Nell'esempio, l'indirizzo IP 172.16.1.10 è l'indirizzo IP assegnato dal concentratore VPN.

altigapptp-15.gif

Debug

Se la connessione non funziona, è possibile aggiungere il debug della classe di evento PPTP a VPN Concentrator. Selezionare Configurazione > Sistema > Eventi > Classi > Modifica o Aggiungi (qui). Sono inoltre disponibili le classi di eventi PPTPDBG e PPTPDECODE, ma potrebbero fornire troppe informazioni.

altigapptp-11.gif

Il registro eventi può essere recuperato da Monitoraggio > Registro eventi filtrabili.

altigapptp-12.gif

Debug VPN 3000 - Buona autenticazione 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Fare clic sulla finestra Dettagli stato utente PPTP per controllare i parametri sul PC Windows.

altigapptp-16.gif

Risoluzione dei problemi

Di seguito sono riportati i possibili errori che è possibile riscontrare:

  • Nome utente o password non validi

    Output di debug VPN 3000 Concentrator: 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    Messaggio visualizzato dall'utente (da Windows 98): 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    Messaggio visualizzato dall'utente ( da Windows 2000):

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • Sul PC è selezionata l'opzione "Crittografia richiesta", ma non sul concentratore VPN

    Messaggio visualizzato dall'utente (da Windows 98): 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    Messaggio visualizzato dall'utente (da Windows 2000): 

    Error 742: The remote computer does not support 
the required data encryption type

  • Sul concentratore VPN è selezionata l'opzione "Crittografia richiesta" (128 bit) con un PC che supporta solo la crittografia a 40 bit

    Output di debug VPN 3000 Concentrator: 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    Messaggio visualizzato dall'utente (da Windows 98): 

    Error 742:  The remote computer does not support 
the required data encryption type.

    Messaggio visualizzato dall'utente (da Windows 2000): 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • VPN 3000 Concentrator è configurato per MSCHAPv1 e il PC per PAP, ma non è possibile accettare un metodo di autenticazione

    Output di debug VPN 3000 Concentrator: 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    Messaggio visualizzato dall'utente (da Windows 2000): 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

Possibili problemi di Microsoft da risolvere

  • Come mantenere attive le connessioni RAS dopo la disconnessione

    Quando si esegue la disconnessione da un client di Servizio di accesso remoto Windows (RAS), tutte le connessioni RAS vengono disconnesse automaticamente. Abilitare la chiave KeepRasConnections nel Registro di sistema del client RAS in modo che rimanga connessa dopo la disconnessione. Per ulteriori informazioni, fare riferimento all'articolo della Microsoft Knowledge Base leavingcisco.com - 158909.

  • L'Utente Non Viene Avvisato Quando Accede Con Credenziali Memorizzate Nella Cache

    Questo problema si verifica quando si tenta di accedere a un dominio da una workstation basata su Windows o da un server membro e non è possibile individuare un controller di dominio e non viene visualizzato alcun messaggio di errore. È stato invece eseguito l'accesso al computer locale utilizzando le credenziali memorizzate nella cache. Per ulteriori informazioni, fare riferimento all'articolo della Microsoft Knowledge Base - 242536leavingcisco.com.

  • Come scrivere un file LMHOSTS per la convalida del dominio e altri problemi di risoluzione dei nomi

    In alcuni casi si verificano problemi di risoluzione dei nomi sulla rete TCP/IP e è necessario utilizzare i file LMHOSTS per risolvere i nomi NetBIOS. In questo articolo viene descritto il metodo corretto utilizzato per creare un file LMHOSTS che agevoli la risoluzione dei nomi e la convalida del dominio. Per ulteriori informazioni, fare riferimento all'articolo della Microsoft Knowledge Base - 180094leavingcisco.com.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
11-Dec-2001
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci