로컬 인증을 사용하여 VPN 3000 Concentrator PPTP를 구성하는 방법

소개

Cisco VPN 3000 Concentrator는 기본 Windows 클라이언트에 대해 PPTP(Point-to-Point Tunnel Protocol) 터널링 방식을 지원합니다. 이러한 VPN Concentrator에서 40비트 및 128비트 암호화를 지원하여 안정적인 연결을 보장합니다.

Cisco Secure ACS(Access Control Server)를 사용하여 확장 인증으로 PPTP 사용자를 위한 VPN Concentrator를 구성하려면 Windows RADIUS 인증을 위한 Cisco Secure ACS를 사용하여 VPN 3000 Concentrator PPTP 구성을 참조하십시오.

사전 요구 사항

요구 사항

이 컨피그레이션을 시도하기 전에 When is PPTP Encryption Supported on a Cisco VPN 3000 Concentrator?에서 언급한 전제 조건을 충족하는지 확인합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 버전 4.0.4.A의 VPN 3015 Concentrator

• PPTP 클라이언트가 설치된 Windows PC

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

로컬 인증으로 VPN 3000 Concentrator 구성

로컬 인증을 사용하여 VPN 3000 Concentrator를 구성하려면 다음 단계를 완료하십시오.

1. VPN Concentrator에서 각 IP 주소를 구성하고 연결되어 있는지 확인합니다.

2. Configuration(컨피그레이션) > User Management(사용자 관리) > Base Group PPTP/L2TP(기본 그룹 PPTP/L2TP) 탭에서 PAP 인증이 선택되었는지 확인합니다.

   

3. Configuration(컨피그레이션) > System(시스템) > Tunneling Protocols(터널링 프로토콜) > PPTP를 선택하고 Enabled(활성화됨)가 선택되었는지 확인합니다.

   

4. Configuration(컨피그레이션) > User Management(사용자 관리) > Groups(그룹) > Add(추가)를 선택하고 PPTP 그룹을 구성합니다. 이 예에서 그룹 이름은 "pptpgroup"이고 비밀번호(및 비밀번호 확인)는 "cisco123"입니다.

   

5. 그룹의 General(일반) 탭 아래에서 인증 프로토콜에서 PPTP 옵션이 활성화되어 있는지 확인합니다.

   

   

6. PPTP/L2TP 탭에서 PAP 인증을 활성화하고 암호화를 비활성화합니다(암호화는 나중에 언제든지 활성화할 수 있음).

   

7. Configuration(구성) > User Management(사용자 관리) > Users(사용자) > Add(추가)를 선택하고, PPTP 인증을 위한 비밀번호 cisco123으로 로컬 사용자("pptpuser"라고 함)를 구성합니다. 이전에 정의한 "pptpgroup"에 사용자를 추가합니다.

   

8. 사용자의 General(일반) 탭 아래에서 터널링 프로토콜에서 PPTP 옵션이 활성화되었는지 확인합니다.

   

9. Configuration(컨피그레이션) > System(시스템) > Address Management(주소 관리) > Pools(풀)를 선택하여 주소 관리를 위한 주소 풀을 정의합니다.

   

10. Configuration(구성) > System(시스템) > Address Management(주소 관리) > Assignment(할당)를 선택하고 VPN Concentrator에서 주소 풀을 사용하도록 지시합니다.

    

Microsoft PPTP 클라이언트 컨피그레이션

참고: 여기에서 Microsoft 소프트웨어 구성에 대해 제공되는 정보는 Microsoft 소프트웨어에 대한 보증 또는 지원과 함께 제공되지 않습니다. Microsoft 소프트웨어에 대한 지원은 Microsoft에서 제공합니다.

Windows 98 - PPTP 기능 설치 및 구성

Install 

PPTP 기능을 설치하려면 다음 단계를 완료하십시오.

1. 시작 > 설정 > 제어판 > 새 하드웨어 추가 (다음) > 목록에서 선택 > 네트워크 어댑터 (다음)를 선택합니다.

2. 왼쪽 패널에서 Microsoft를 선택하고 오른쪽 패널에서 Microsoft VPN Adapter를 선택합니다.

구성

PPTP 기능을 구성하려면 다음 단계를 완료하십시오.

1. 시작 > 프로그램 > 보조프로그램 > 통신 > 전화 접속 네트워킹 > 새 연결을 선택합니다.

2. Select a device 프롬프트에서 Microsoft VPN Adapter를 사용하여 연결합니다. VPN 서버 IP는 3000 터널 엔드포인트입니다.

Windows 98 기본 인증에서는 암호 암호화(예: CHAP 또는 MSCHAP)를 사용합니다. 이 암호화를 처음에 비활성화하려면 Properties(속성) > Server types(서버 유형)를 선택하고 Encrypted Password(암호화된 비밀번호) 및 Require Data Encryption(데이터 암호화 필요) 상자의 선택을 취소합니다.

Windows 2000 - PPTP 기능 구성

PPTP 기능을 구성하려면 다음 단계를 완료하십시오.

1. 시작 > 프로그램 > 보조프로그램 > 통신 > 네트워크 및 전화 접속 연결 > 새 연결하기를 선택합니다.

2. 다음을 클릭하고 Connect to a private network through the Internet(인터넷을 통해 사설 네트워크에 연결) > Dial a connection prior(연결 이전에 전화 걸기)를 선택합니다(LAN을 사용하는 경우에는 이 옵션을 선택하지 않음).

3. Next(다음)를 다시 클릭하고 VPN 3000 Concentrator의 외부 인터페이스인 터널 엔드포인트의 호스트 이름 또는 IP를 입력합니다. 이 예에서 IP 주소는 161.44.17.1입니다.

Properties(속성) > Security for the connection(연결에 대한 보안) > Advanced(고급)를 선택하여 비밀번호 유형을 PAP로 추가합니다. 기본값은 CHAP 또는 PAP가 아닌 MSCHAP 및 MSCHAPv2입니다.

이 영역에서 데이터 암호화를 구성할 수 있습니다. 처음에 비활성화할 수 있습니다.

윈도 NT

Microsoft 웹 사이트에서 PPTP용 Windows NT 클라이언트 설정에 대한 정보에 액세스할 수 있습니다.

Windows Vista

PPTP 기능을 구성하려면 다음 단계를 완료하십시오.

1. 시작 버튼에서 연결 대상을 선택합니다.

2. Set up a connection or network(연결 또는 네트워크 설정)를 선택합니다.

3. Connect to a workplace(작업 공간에 연결)를 선택하고 Next(다음)를 클릭합니다.

4. Use my Internet Connection (VPN)(내 인터넷 연결 사용(VPN))을 선택합니다.

   참고: "이미 있는 연결을 사용하시겠습니까?"라는 메시지가 표시되면 No(아니요)를 선택하고 새 연결을 만든 후 Next(다음)를 클릭합니다.

5. Internet Address(인터넷 주소) 필드에 pptp.vpn.univ.edu를 입력합니다.

6. Destination Name(대상 이름) 필드에 UNIVVPN을 입력합니다(예: ).

7. User Name(사용자 이름) 필드에 UNIV 로그온 ID를 입력합니다. UNIV 로그온 ID는 @univ.edu 이전의 전자 메일 주소의 일부입니다.

8. Password(비밀번호) 필드에 UNIV 로그온 ID 비밀번호를 입력합니다.

9. Create(생성) 버튼을 클릭한 다음 Close(닫기) 버튼을 클릭합니다.

10. VPN 연결을 생성한 후 VPN 서버에 연결하려면 Start(시작)를 클릭한 다음 Connect to(연결 대상)를 클릭합니다.

11. 창에서 VPN 연결을 선택하고 Connect(연결)를 클릭합니다.

MPPE(암호화) 추가

암호화를 추가하기 전에 PPTP 연결이 암호화 없이 작동하는지 확인하십시오. 예를 들어, PPTP 클라이언트에서 Connect(연결) 버튼을 클릭하여 연결이 완료되었는지 확인합니다. 암호화를 요구하기로 결정한 경우 MSCHAP 인증을 사용해야 합니다. VPN 3000에서 Configuration(구성) > User Management(사용자 관리) > Groups(그룹)를 선택합니다. 그런 다음 그룹에 대한 PPTP/L2TP 탭에서 PAP의 선택을 취소하고 MSCHAPv1을 선택한 다음 PPTP 암호화에 필요를 선택합니다.

PPTP 클라이언트는 선택적 또는 필수 데이터 암호화 및 MSCHAPv1(옵션인 경우)에 대해 다시 구성해야 합니다.

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

VPN Concentrator 확인

Microsoft PPTP Client Configuration(Microsoft PPTP 클라이언트 컨피그레이션) 섹션에서 앞서 생성한 PPTP 클라이언트에서 전화를 걸어 PPTP 세션을 시작할 수 있습니다.

모든 활성 PPTP 세션에 대한 매개변수 및 통계를 보려면 VPN Concentrator의 Administration(관리) >Administer Sessions(세션 관리) 창을 사용합니다.

PC 확인

PC의 명령 모드에서 ipconfig 명령을 실행하여 PC에 IP 주소가 두 개인지 확인합니다. 하나는 자체 IP 주소이고 다른 하나는 VPN Concentrator에서 IP 주소 풀에서 할당합니다. 이 예에서 IP 주소 172.16.1.10은 VPN Concentrator에서 할당한 IP 주소입니다.

디버그

연결이 작동하지 않을 경우 PPTP 이벤트 클래스 디버그를 VPN Concentrator에 추가할 수 있습니다. Configuration(컨피그레이션) > System(시스템) > Events(이벤트) > Classes(클래스) > Modify or Add(수정 또는 추가)(여기에 표시됨)를 선택합니다. PPTPDBG 및 PPTPDECODE 이벤트 클래스도 사용할 수 있지만 너무 많은 정보를 제공할 수 있습니다.

이벤트 로그는 Monitoring(모니터링) > Filterable Event Log(필터링 가능 이벤트 로그)에서 검색할 수 있습니다.

VPN 3000 디버그 - 양호한 인증

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Windows PC에서 매개변수를 확인하려면 PPTP 사용자 상태 세부 정보 창을 클릭합니다.

문제 해결

다음과 같은 오류가 발생할 수 있습니다.

• 사용자 이름 또는 암호가 잘못되었습니다.

  VPN 3000 Concentrator 디버그 출력:

  1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 established
  
  2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
     Session started on tunnel 171.69.89.129
  
  3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
     Authentication rejected: Reason = User was not found
     handle = 44, server = (none), user = pptpusers, domain = <not specified>
  
  5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
     User [pptpusers]
     disconnected.. failed authentication ( MSCHAP-V1 )
  
  6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
     Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
     reason: Error (No additional info)
  
  8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

  사용자에게 표시되는 메시지(Windows 98):

  Error 691: The computer you have dialed in to has denied access 
  because the username and/or password is invalid on the domain.

  사용자에게 표시되는 메시지(Windows 2000):

  Error 691: Access was denied because the username and/or 
  password was invalid on the domain.

• "Encryption Required(암호화 필요)"가 PC에서는 선택되지만 VPN Concentrator에서는 선택되지 않음

  사용자에게 표시되는 메시지(Windows 98):

  Error 742: The computer you're dialing in to does not support the data 
  encryption requirements specified. 
  Please check your encryption settings in the properties of the connection. 
  If the problem persists, contact your network administrator.

  사용자에게 표시되는 메시지(Windows 2000):

  Error 742: The remote computer does not support 
  the required data encryption type

• 40비트 암호화만 지원하는 PC가 있는 VPN Concentrator에서 "암호화 필요"(128비트)가 선택됩니다

  VPN 3000 Concentrator 디버그 출력:

  4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
  PPTP Encryption configured as REQUIRED.. remote client not supporting it.

  사용자에게 표시되는 메시지(Windows 98):

  Error 742:  The remote computer does not support 
  the required data encryption type.

  사용자에게 표시되는 메시지(Windows 2000):

  Error 645 Dial-Up Networking could not complete the connection to the server.  
  Check your configuration and try the connection again.

• VPN 3000 Concentrator는 MSCHAPv1에 대해 구성되고 PC는 PAP에 대해 구성되지만 인증 방법에 동의할 수 없습니다

  VPN 3000 Concentrator 디버그 출력:

  8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 
  
  User [pptpuser] disconnected. Authentication protocol not allowed. 

  사용자에게 표시되는 메시지(Windows 2000):

  Error 691:  Access was denied because the username and/or password 
  was invalid on the domain.

Microsoft 문제 해결 가능

• 로그오프 후 RAS 연결을 활성 상태로 유지하는 방법

  Windows RAS(원격 액세스 서비스) 클라이언트에서 로그오프하면 모든 RAS 연결이 자동으로 끊어집니다. 로그오프한 후에도 연결 상태를 유지하려면 RAS 클라이언트의 레지스트리에서 KeepRasConnections 키를 활성화합니다. 자세한 내용은 Microsoft 기술 자료 문서 - 158909를 참조하십시오.

• 캐시된 자격 증명으로 로그온할 때 사용자에게 알림이 표시되지 않음

  이 문제의 증상은 Windows 기반 워크스테이션 또는 구성원 서버에서 도메인에 로그온하려고 할 때 도메인 컨트롤러를 찾을 수 없고 오류 메시지가 표시되지 않는 것입니다. 대신 캐시된 자격 증명을 사용하여 로컬 컴퓨터에 로그온합니다. 자세한 내용은 Microsoft 기술 자료 문서 - 242536을 참조하십시오.

• 도메인 검증 및 기타 이름 확인 문제를 위해 LMHOSTS 파일을 작성하는 방법

  TCP/IP 네트워크에서 이름 확인 문제가 발생할 때 LMHOSTS 파일을 사용하여 NetBIOS 이름을 확인해야 하는 경우가 있습니다. 이 문서에서는 이름 확인 및 도메인 검증을 지원하기 위해 LMHOSTS 파일을 만드는 데 사용되는 적절한 방법에 대해 설명합니다. 자세한 내용은 Microsoft 기술 자료 문서 - 180094를 참조하십시오.

관련 정보

• RFC 2637: PPTP(지점 간 터널링 프로토콜)
• Cisco Secure ACS for Windows 지원 페이지
• Cisco VPN 3000 Concentrator에서 PPTP 암호화가 지원되는 시기는 언제입니까?
• Windows RADIUS 인증을 위한 Cisco Secure ACS를 사용하여 VPN 3000 Concentrator 및 PPTP 구성
• Cisco VPN 3000 Concentrator 지원 페이지
• Cisco VPN 3000 클라이언트 지원 페이지
• IP 보안(IPSec) 제품 지원 페이지
• PPTP 제품 지원 페이지
• 기술 지원 및 문서 − Cisco Systems