Cisco IOS-software en Windows 2000 configureren voor PPTP met Microsoft IAS

Downloadopties

  • PDF     (239.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (103.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (127.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:6 september 2004
Document-id:3885

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Point-to-Point Tunnel Protocol (PPTP)-ondersteuning is toegevoegd aan Cisco IOS-softwarerelease 12.0.5.XE5 op de Cisco 7100 en 7200 routerplatforms. Ondersteuning voor meer platforms is toegevoegd aan Cisco IOS-softwarerelease 12.1.5.T.

Verzoek om Comments (RFC) 2637 beschrijft PPTP. Volgens deze RFC is de PPTP Access Concentrator (PAC) de client (d.w.z. de PC of de caller) en is de PPTP Network Server (PNS) de server (d.w.z. de router of het apparaat dat wordt opgeroepen).

Voorwaarden

Vereisten

Dit document gaat ervan uit dat u PPTP-verbindingen naar de router hebt ingesteld met lokale Microsoft-Challenge Handshake Authentication Protocol (MS-CHAP) V1-verificatie (en optioneel Microsoft Point-to-Point Encryption [MPPE], waarvoor MS-CHAP V1 nodig is) met deze documenten, en dat ze al werken. RADIUS (Remote Authentication Dial-User Service) is vereist voor ondersteuning van MPPE-encryptie; TACACS+ werkt voor authenticatie, maar niet voor MPPE keying.

Gebruikte componenten

De informatie in dit document is gebaseerd op de onderstaande software- en hardwareversies.

  • Microsoft IAS optionele component geïnstalleerd op een Microsoft 2000 geavanceerde server met Active Directory.

  • Een Cisco 3600 router.

  • Cisco IOS-softwarerelease c3640-io3s56i-mz.121-5.T.

Deze configuratie gebruikt Microsoft IAS die op een Windows 2000-geavanceerde server als RADIUS-server is geïnstalleerd.

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Achtergrondinformatie

Deze voorbeeldconfiguratie toont aan hoe u een pc kunt opzetten voor aansluiting op de router (op het adres 10.20.20.2), die vervolgens de gebruiker op Microsoft's Internet Authentication Server (IAS) (op 10.20.20.245) authentiek maakt voordat u de gebruiker in het netwerk toelaat. PPTP-ondersteuning is beschikbaar voor Cisco Secure Access Control Server (ACS) versie 2.5 voor Windows. Maar het werkt mogelijk niet met de router vanwege Cisco Bug ID CSCds92266. Als u Cisco Secure gebruikt, raden we het gebruik van Cisco Secure versie 2.6 of hoger aan. Cisco Secure UNIX ondersteunt MPPE niet. Twee andere RADIUS-toepassingen met MPPE-ondersteuning zijn Microsoft RADIUS en Funk RADIUS.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

N.B.: Als u aanvullende informatie wilt vinden over de opdrachten die in dit document worden gebruikt, gebruikt u het IOS-opnamegereedschap

Netwerkdiagram

Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.

pptp_3885.gif

IP-pool voor inbelklanten:

  • Gatewayrouter: 192.168.1.2-192.168.1.254

  • LNS: 172.16.10.1-172.16.10.10

Hoewel de bovenstaande instellingen een inbelclient gebruiken om via een inbelverbinding met de router van Internet Service provider (ISP) te maken, kunt u de pc- en gatewayrouter via elke media, zoals een LAN, aansluiten.

De Windows 2000 Advanced Server voor Microsoft IAS configureren

In dit hoofdstuk wordt getoond hoe u de Windows 2000-geavanceerde server voor Microsoft IAS kunt configureren:

  1. Zorg ervoor dat Microsoft IAS is geïnstalleerd. Om Microsoft IAS te installeren, inlogt u als beheerder in. Controleer onder Network Services of alle vinkjes zijn verwijderd. Selecteer het aankruisvakje voor Internet-verificatieserver en klik vervolgens op OK.

  2. Klik in de wizard Windows-onderdelen op Volgende. Plaats desgevraagd de Windows 2000-cd.

  3. Klik nadat de gewenste bestanden zijn gekopieerd op Voltooien en vervolgens alle vensters sluiten. U hoeft niet opnieuw op te starten.

RADIUS-clients configureren

In dit gedeelte worden de stappen weergegeven om strairliënten te configureren:

  1. Open vanuit beheertools de Internet-verificatieserverconsole en klik op Clients.

  2. Typ in het vak Vriendelijke naam het IP-adres van de netwerktoegangsserver (NAS).

  3. Klik op de optie Deze IP gebruiken.

  4. Zorg er in de vervolgkeuzelijst Clientverkoper voor dat de optie RADIUS-standaard is geselecteerd.

  5. In de dialoogvensters Gedeeld geheim en Gedeeld geheim bevestigen, typt u het wachtwoord en vervolgens klikt u op Voltooien.

  6. Klik in de console boom met de rechtermuisknop op Internet Verificatieservice en klik vervolgens op Start.

  7. Sluit de console.

Gebruikers op IAS configureren

In tegenstelling tot Cisco Secure is de Windows 2000 RADIUS-gebruikersdatabase sterk gebonden aan de Windows-gebruikersdatabase. Als er een actieve map op uw Windows 2000-server is geïnstalleerd, kunt u uw nieuwe inbelgebruikers maken van Active Directory-gebruikers en computers. Als Actieve Map niet geïnstalleerd is, gebruikt u Lokale gebruikers en Groepen van Administratieve tools om nieuwe gebruikers te maken.

Gebruikers in de actieve map configureren

In deze sectie worden de stappen weergegeven om gebruikers in de actieve map te configureren:

  1. In de Actieve console van de Gebruikers en van de Computers, breid uw domein uit. Klik met de rechtermuisknop op Gebruikers. Scrolt om nieuwe gebruiker te selecteren. Maak een nieuwe gebruiker die tac heet.

  2. Typ een wachtwoord in het dialoogvenster Wachtwoord en bevestig het wachtwoord.

  3. Schakel de gebruiker uit om het wachtwoord te wijzigen in het veld Volgende en klik op Volgende.

  4. Open het vakje User Tac Properties. Switch naar het tabblad Inbellen Onder Remote Access Permission (inbellen of VPN), klikt u op Toegang toestaan en vervolgens klikt u op OK.

Gebruikers configureren als er geen actieve map is geïnstalleerd

In deze sectie worden de stappen beschreven om gebruikers te configureren als er geen actieve directory is geïnstalleerd:

  1. Klik in het gedeelte Beheermiddelen op Computer Management. Sluit de console Computer Management uit en klik op Lokale gebruikers en groepen. Klik met de rechtermuisknop op de werkbalk Gebruikers om Nieuwe gebruiker te selecteren. Maak een nieuwe gebruiker die tac heet.

  2. Typ een wachtwoord in het dialoogvenster Wachtwoord en bevestig het wachtwoord.

  3. Schakel de gebruiker uit door het wachtwoord te wijzigen bij de optie Volgende en klik op Volgende.

  4. Open het nieuwe gebruiker, het tac Properties-vakje. Switch naar het tabblad Inbellen Onder Remote Access Permission (Inbelen of VPN), klik op Toegang toestaan en klik vervolgens op OK.

Een extern toegangsbeleid op de Windows-gebruiker toepassen

In deze sectie worden de stappen beschreven om een beleid voor toegang op afstand op de Windows-gebruiker toe te passen:

  1. Open vanuit beheertools de Internet-verificatieserverconsole en klik op Remote Access-beleid.

  2. Klik op de knop Add op Specificeer de voorwaarden voor aanpassing en voeg Service-type toe. Kies het beschikbare type als framed en voeg het toe aan de lijst Geselecteerde typen. Druk op OK.

  3. Klik op de knop Add op Specificeer de voorwaarden voor aanpassing en voeg framed Protocol toe. Kies het beschikbare type als PPP en voeg het aan de geselecteerde lijst van Typen toe. Druk op OK.

  4. Klik op de knop Add op Specificeer de voorwaarden voor aanpassing en voeg Windows-groepen toe om de Windows-groep toe waarin de gebruiker hoort toe te voegen. Kies de groep en voeg deze toe aan de geselecteerde typen en druk op OK.

  5. Selecteer in het veld Toegang toestaan als inbeltoestemming is ingeschakeld, de optie Toegang op afstand verlenen.

  6. Sluit de console.

De Windows 2000-client configureren voor PPTP

In het onderstaande gedeelte worden de stappen weergegeven om de Windows 2000-client voor PPTP te configureren:

  1. Selecteer in het menu Start Instellingen en vervolgens:

    • Bedieningspaneel en netwerk- en inbelverbindingen, of

    • Netwerkverbindingen en inbelverbindingen maken vervolgens een nieuwe verbinding.

    Gebruik de Wizard om een verbinding te maken die PPTP wordt genoemd. Deze verbinding sluit aan op een privaat netwerk door het internet. U moet ook het IP-adres of de naam van de PPTP Network Server (PNS) specificeren.

  2. De nieuwe verbinding wordt weergegeven in het venster Network and Dial-up Connections onder Control Panel.

    Klik vanaf hier op de rechterknop om de eigenschappen te bewerken. Zorg er onder het tabblad Netwerk voor dat het veld Type of Server dat ik bel, is ingesteld op PPTP. Als u van plan bent een dynamisch intern adres aan deze client toe te wijzen vanuit de gateway, via een lokale pool of Dynamic Host Configuration Protocol (DHCP), selecteert u TCP/IP-protocol en zorgt u ervoor dat de client is geconfigureerd om automatisch een IP-adres te verkrijgen. U kunt DNS-informatie ook automatisch uitgeven.

    Met de knop Advanced kunt u de statische Windows Internet Naming Service (WINS) en DNS-informatie definiëren.

    In het tabblad Opties kunt u IPSec uitschakelen of een ander beleid aan de verbinding toewijzen.

  3. Onder het tabblad Beveiliging kunt u de parameters voor gebruikersverificatie definiëren. Bijvoorbeeld PAP, CHAP of MS-CHAP, of de opening van een domeinaanmelding van Windows. Nadat de verbinding is ingesteld, kunt u dubbelklikken op het scherm om de inlogscherm weer te geven en vervolgens verbinding te maken.

Configuraties

Wanneer de volgende routerconfiguratie wordt gebruikt, kan de gebruiker verbinding maken met de beheerder van de gebruikersnaam en het wachtwoord, ook al is de RADIUS-server niet beschikbaar (dit is mogelijk wanneer de Microsoft IAS nog moet worden geconfigureerd). De volgende voorbeeldconfiguratie beschrijft de opdrachten die vereist zijn voor L2TP zonder IPSec.

engelachtig 
angela#show running-config
Building configuration...
Current configuration : 1606 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname angela
!
logging rate-limit console 10 except errors

!---Enable AAA services here

aaa new-model
aaa authentication login default group radius local
aaa authentication login console none
aaa authentication ppp default group radius local
aaa authorization network default group radius local
enable password
!
username tac password 0 admin
memory-size iomem 30
ip subnet-zero
!
!
no ip finger
no ip domain-lookup
ip host rund 172.17.247.195
!
ip audit notify log
ip audit po max-events 100
ip address-pool local

!---Enable VPN/Virtual Private Dialup Network (VPDN) services !---and define groups and their respective parameters.

vpdn enable
no vpdn logging
!
!
vpdn-group PPTP_WIN2KClient

!---Default PPTP VPDN group !---Allow the router to accept incoming Requests

accept-dialin
protocol pptp
virtual-template 1
!
!
!
call rsvp-sync
!
!
!
!
!
!
!
controller E1 2/0
!
!
interface Loopback0
ip address 172.16.10.100 255.255.255.0
!
interface Ethernet0/0
ip address 10.200.20.2 255.255.255.0
half-duplex
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool default

!--- The following encryption command is optional !--- and could be added later.

ppp encrypt mppe 40
ppp authentication ms-chap
!
ip local pool default 172.16.10.1 172.16.10.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.200.20.1
ip route 192.168.1.0 255.255.255.0 10.200.20.250
no ip http server
!
radius-server host 10.200.20.245 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server key cisco
!
dial-peer cor custom
!
!
!
!
!
line con 0
exec-timeout 0 0
login authentication console
transport input none
line 33 50
modem InOut
line aux 0
line vty 0 4
exec-timeout 0 0
password 
!
end

angela#show debug
General OS:
AAA Authentication debugging is on
AAA Authorization debugging is on
PPP:
MPPE Events debugging is on
PPP protocol negotiation debugging is on
VPN:
L2X protocol events debugging is on
L2X protocol errors debugging is on
VPDN events debugging is on
VPDN errors debugging is on
Radius protocol debugging is on

angela#
*Mar  7 04:21:07.719: L2X: TCP connect reqd from 0.0.0.0:2000
*Mar  7 04:21:07.991: Tnl 29 PPTP: Tunnel created; peer initiated
*Mar  7 04:21:08.207: Tnl 29 PPTP: SCCRQ-ok -> 
state change wt-sccrq to estabd
*Mar  7 04:21:09.267: VPDN: Session vaccess task running
*Mar  7 04:21:09.267: Vi1 VPDN: Virtual interface created
*Mar  7 04:21:09.267: Vi1 VPDN: Clone from Vtemplate 1
*Mar  7 04:21:09.343: Tnl/Cl 29/29 PPTP: VAccess created
*Mar  7 04:21:09.343: Vi1 Tnl/Cl 29/29 PPTP: vacc-ok -> 
#state change wt-vacc to estabd
*Mar  7 04:21:09.343: Vi1 VPDN: Bind interface direction=2
*Mar  7 04:21:09.347: %LINK-3-UPDOWN: Interface Virtual-Access1, changed
state to up
*Mar  7 04:21:09.347: Vi1 PPP: Using set call direction
*Mar  7 04:21:09.347: Vi1 PPP: Treating connection as a callin
*Mar  7 04:21:09.347: Vi1 PPP: Phase is ESTABLISHING, 
Passive Open [0 sess, 0 load]
*Mar  7 04:21:09.347: Vi1 LCP: State is Listen
*Mar  7 04:21:10.347: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access1, changed state to up
*Mar  7 04:21:11.347: Vi1 LCP: TIMEout: State Listen
*Mar  7 04:21:11.347: Vi1 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Mar  7 04:21:11.347: Vi1 LCP: O CONFREQ [Listen] id 7 len 15
*Mar  7 04:21:11.347: Vi1 LCP:    AuthProto MS-CHAP (0x0305C22380)
*Mar  7 04:21:11.347: Vi1 LCP:    MagicNumber 0x3050EB1F (0x05063050EB1F)
*Mar  7 04:21:11.635: Vi1 LCP: I CONFACK [REQsent] id 7 len 15
*Mar  7 04:21:11.635: Vi1 LCP:    AuthProto MS-CHAP (0x0305C22380)
*Mar  7 04:21:11.635: Vi1 LCP:    MagicNumber 0x3050EB1F (0x05063050EB1F)
*Mar  7 04:21:13.327: Vi1 LCP: I CONFREQ [ACKrcvd] id 1 len 44
*Mar  7 04:21:13.327: Vi1 LCP:    MagicNumber 0x35BE1CB0 (0x050635BE1CB0)
*Mar  7 04:21:13.327: Vi1 LCP:    PFC (0x0702)
*Mar  7 04:21:13.327: Vi1 LCP:    ACFC (0x0802)
*Mar  7 04:21:13.327: Vi1 LCP:    Callback 6  (0x0D0306)
*Mar  7 04:21:13.327: Vi1 LCP:    MRRU 1614 (0x1104064E)
*Mar  7 04:21:13.327: Vi1 LCP:    EndpointDisc 1 Local
*Mar  7 04:21:13.327: Vi1 LCP:     (0x1317016AC616B006CC4281A1CA941E39)
*Mar  7 04:21:13.331: Vi1 LCP:     (0xB9182600000008)
*Mar  7 04:21:13.331: Vi1 LCP: O CONFREJ [ACKrcvd] id 1 len 34
*Mar  7 04:21:13.331: Vi1 LCP:    Callback 6  (0x0D0306)
*Mar  7 04:21:13.331: Vi1 LCP:    MRRU 1614 (0x1104064E)
*Mar  7 04:21:13.331: Vi1 LCP:    EndpointDisc 1 Local
*Mar  7 04:21:13.331: Vi1 LCP:     (0x1317016AC616B006CC4281A1CA941E39)
*Mar  7 04:21:13.331: Vi1 LCP:     (0xB9182600000008)
*Mar  7 04:21:13.347: Vi1 LCP: TIMEout: State ACKrcvd
*Mar  7 04:21:13.347: Vi1 LCP: O CONFREQ [ACKrcvd] id 8 len 15
*Mar  7 04:21:13.347: Vi1 LCP:    AuthProto MS-CHAP (0x0305C22380)
*Mar  7 04:21:13.347: Vi1 LCP:    MagicNumber 0x3050EB1F (0x05063050EB1F)
*Mar  7 04:21:13.647: Vi1 LCP: I CONFREQ [REQsent] id 2 len 14
*Mar  7 04:21:13.651: Vi1 LCP:    MagicNumber 0x35BE1CB0 (0x050635BE1CB0)
*Mar  7 04:21:13.651: Vi1 LCP:    PFC (0x0702)
*Mar  7 04:21:13.651: Vi1 LCP:    ACFC (0x0802)
*Mar  7 04:21:13.651: Vi1 LCP: O CONFACK [REQsent] id 2 len 14
*Mar  7 04:21:13.651: Vi1 LCP:    MagicNumber 0x35BE1CB0 (0x050635BE1CB0)
*Mar  7 04:21:13.651: Vi1 LCP:    PFC (0x0702)
*Mar  7 04:21:13.651: Vi1 LCP:    ACFC (0x0802)
*Mar  7 04:21:13.723: Vi1 LCP: I CONFACK [ACKsent] id 8 len 15
*Mar  7 04:21:13.723: Vi1 LCP:    AuthProto MS-CHAP (0x0305C22380)
*Mar  7 04:21:13.723: Vi1 LCP:    MagicNumber 0x3050EB1F (0x05063050EB1F)
*Mar  7 04:21:13.723: Vi1 LCP: State is Open
*Mar  7 04:21:13.723: Vi1 PPP: Phase is AUTHENTICATING, 
by this end [0 sess, 0 load]
*Mar  7 04:21:13.723: Vi1 MS-CHAP: O CHALLENGE id 20 len 21 from "angela "
*Mar  7 04:21:14.035: Vi1 LCP: I IDENTIFY [Open] id 3 len 18 magic
0x35BE1CB0 MSRASV5.00
*Mar  7 04:21:14.099: Vi1 LCP: I IDENTIFY [Open] id 4 len 24 magic
0x35BE1CB0 MSRAS-1-RSHANMUG
*Mar  7 04:21:14.223: Vi1 MS-CHAP: I RESPONSE id 20 len 57 from "tac"
*Mar  7 04:21:14.223: AAA: parse name=Virtual-Access1 idb type=21 tty=-1
*Mar  7 04:21:14.223: AAA: name=Virtual-Access1 flags=0x11 type=5 shelf=0
slot=0 adapter=0 port=1 channel=0
*Mar  7 04:21:14.223: AAA/MEMORY: create_user (0x62740E7C) user='tac' ruser='' 
port='Virtual-Access1' rem_addr='' authen_type=MSCHAP service=PPP priv=1
*Mar  7 04:21:14.223: AAA/AUTHEN/START (2474402925): port='Virtual-Access1'
list='' action=LOGIN service=PPP
*Mar  7 04:21:14.223: AAA/AUTHEN/START (2474402925): using "default" list
*Mar  7 04:21:14.223: AAA/AUTHEN/START (2474402925): Method=radius (radius)
*Mar  7 04:21:14.223: RADIUS: ustruct sharecount=0
*Mar  7 04:21:14.223: RADIUS: Initial Transmit Virtual-Access1 id 116
10.200.20.245:1645, Access-Request, len 129
*Mar  7 04:21:14.227:         Attribute 4 6 0AC81402
*Mar  7 04:21:14.227:         Attribute 5 6 00000001
*Mar  7 04:21:14.227:         Attribute 61 6 00000005
*Mar  7 04:21:14.227:         Attribute 1 5 7461631A
*Mar  7 04:21:14.227:         Attribute 26 16 000001370B0AFD11
*Mar  7 04:21:14.227:         Attribute 26 58 0000013701341401
*Mar  7 04:21:14.227:         Attribute 6 6 00000002
*Mar  7 04:21:14.227:         Attribute 7 6 00000001
*Mar  7 04:21:14.239: RADIUS: Received from id 116 10.200.20.245:1645,
Access-Accept, len 116
*Mar  7 04:21:14.239:         Attribute 7 6 00000001
*Mar  7 04:21:14.239:         Attribute 6 6 00000002
*Mar  7 04:21:14.239:         Attribute 25 32 64080750
*Mar  7 04:21:14.239:         Attribute 26 40 000001370C223440
*Mar  7 04:21:14.239:         Attribute 26 12 000001370A06144E
*Mar  7 04:21:14.239: AAA/AUTHEN (2474402925): status = PASS
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP: Authorize LCP
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP (2434357606):
Port='Virtual-Access1' list='' service=NET
*Mar  7 04:21:14.243: AAA/AUTHOR/LCP: Vi1 (2434357606) user='tac'
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP (2434357606): send AV service=ppp
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP (2434357606): send AV protocol=lcp
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP (2434357606): found list "default"
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP (2434357606): Method=radius
(radius)
*Mar  7 04:21:14.243: RADIUS: unrecognized Microsoft VSA type 10
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR (2434357606): Post authorization
status = PASS_REPL
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP: Processing AV service=ppp
*Mar  7 04:21:14.243: Vi1 AAA/AUTHOR/LCP: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:14.243: Vi1 MS-CHAP: O SUCCESS id 20 len 4
*Mar  7 04:21:14.243: Vi1 PPP: Phase is UP [0 sess, 0 load]
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM: (0): Can we start IPCP?
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (1553311212):
Port='Virtual-Access1' list='' service=NET
*Mar  7 04:21:14.247: AAA/AUTHOR/FSM: Vi1 (1553311212) user='tac'
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (1553311212): send AV service=ppp
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (1553311212): send AV protocol=ip
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (1553311212): found list "default"
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (1553311212): Method=radius
(radius)
*Mar  7 04:21:14.247: RADIUS: unrecognized Microsoft VSA type 10
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR (1553311212): Post authorization
status = PASS_REPL
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM: We can start IPCP
*Mar  7 04:21:14.247: Vi1 IPCP: O CONFREQ [Not negotiated] id 4 len 10
*Mar  7 04:21:14.247: Vi1 IPCP:    Address 172.16.10.100 (0x0306AC100A64)
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM: (0): Can we start CCP?
*Mar  7 04:21:14.247: Vi1 AAA/AUTHOR/FSM (3663845178):
Port='Virtual-Access1' list='' service=NET
*Mar  7 04:21:14.251: AAA/AUTHOR/FSM: Vi1 (3663845178) user='tac'
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR/FSM (3663845178): send AV service=ppp
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR/FSM (3663845178): send AV protocol=ccp
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR/FSM (3663845178): found list "default"
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR/FSM (3663845178): Method=radius
(radius)
*Mar  7 04:21:14.251: RADIUS: unrecognized Microsoft VSA type 10
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR (3663845178): Post authorization
status = PASS_REPL
*Mar  7 04:21:14.251: Vi1 AAA/AUTHOR/FSM: We can start CCP
*Mar  7 04:21:14.251: Vi1 CCP: O CONFREQ [Closed] id 3 len 10
*Mar  7 04:21:14.251: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  7 04:21:14.523: Vi1 CCP: I CONFREQ [REQsent] id 5 len 10
*Mar  7 04:21:14.523: Vi1 CCP:    MS-PPC supported bits 0x010000F1
(0x1206010000F1)
*Mar  7 04:21:14.523: Vi1 MPPE: don't understand all options, NAK
*Mar  7 04:21:14.523: Vi1 AAA/AUTHOR/FSM: 
Check for unauthorized mandatory AV's
*Mar  7 04:21:14.523: Vi1 AAA/AUTHOR/FSM: Processing AV service=ppp
*Mar  7 04:21:14.523: Vi1 AAA/AUTHOR/FSM: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:14.523: Vi1 AAA/AUTHOR/FSM: Succeeded
*Mar  7 04:21:14.523: Vi1 CCP: O CONFNAK [REQsent] id 5 len 10
*Mar  7 04:21:14.523: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  7 04:21:14.607: Vi1 IPCP: I CONFREQ [REQsent] id 6 len 34
*Mar  7 04:21:14.607: Vi1 IPCP:    Address 0.0.0.0 (0x030600000000)
*Mar  7 04:21:14.607: Vi1 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Mar  7 04:21:14.607: Vi1 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Mar  7 04:21:14.607: Vi1 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Mar  7 04:21:14.607: Vi1 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Mar  7 04:21:14.607: Vi1 AAA/AUTHOR/IPCP: Start.  
Her address 0.0.0.0, we want 0.0.0.0
*Mar  7 04:21:14.607: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  7 04:21:14.607: Vi1 AAA/AUTHOR/IPCP: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:14.607: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  7 04:21:14.607: Vi1 AAA/AUTHOR/IPCP: Done.  
Her address 0.0.0.0, we want 0.0.0.0
*Mar  7 04:21:14.607: Vi1 IPCP: Pool returned 172.16.10.1
*Mar  7 04:21:14.607: Vi1 IPCP: O CONFREJ [REQsent] id 6 len 28
*Mar  7 04:21:14.607: Vi1 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Mar  7 04:21:14.611: Vi1 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Mar  7 04:21:14.611: Vi1 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Mar  7 04:21:14.611: Vi1 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Mar  7 04:21:14.675: Vi1 IPCP: I CONFACK [REQsent] id 4 len 10
*Mar  7 04:21:14.675: Vi1 IPCP:    Address 172.16.10.100 (0x0306AC100A64)
*Mar  7 04:21:14.731: Vi1 CCP: I CONFACK [REQsent] id 3 len 10
*Mar  7 04:21:14.731: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  7 04:21:14.939: Vi1 CCP: I CONFREQ [ACKrcvd] id 7 len 10
*Mar  7 04:21:14.939: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  7 04:21:14.939: Vi1 AAA/AUTHOR/FSM: 
Check for unauthorized mandatory AV's
*Mar  7 04:21:14.939: Vi1 AAA/AUTHOR/FSM: Processing AV service=ppp
*Mar  7 04:21:14.939: Vi1 AAA/AUTHOR/FSM: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:14.939: Vi1 AAA/AUTHOR/FSM: Succeeded
*Mar  7 04:21:14.939: Vi1 CCP: O CONFACK [ACKrcvd] id 7 len 10
*Mar  7 04:21:14.939: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  7 04:21:14.943: Vi1 CCP: State is Open
*Mar  7 04:21:14.943: Vi1 MPPE: Generate keys using RADIUS data
*Mar  7 04:21:14.943: Vi1 MPPE: Initialize keys
*Mar  7 04:21:14.943: Vi1 MPPE: [40 bit encryption]  [stateless mode]
*Mar  7 04:21:14.991: Vi1 IPCP: I CONFREQ [ACKrcvd] id 8 len 10
*Mar  7 04:21:14.991: Vi1 IPCP:    Address 0.0.0.0 (0x030600000000)
*Mar  7 04:21:14.991: Vi1 AAA/AUTHOR/IPCP: Start.  
Her address 0.0.0.0, we want 172.16.10.1
*Mar  7 04:21:14.991: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  7 04:21:14.995: Vi1 AAA/AUTHOR/IPCP: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:14.995: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  7 04:21:14.995: Vi1 AAA/AUTHOR/IPCP: Done.  
Her address 0.0.0.0, we want 172.16.10.1
*Mar  7 04:21:14.995: Vi1 IPCP: O CONFNAK [ACKrcvd] id 8 len 10
*Mar  7 04:21:14.995: Vi1 IPCP:    Address 172.16.10.1 (0x0306AC100A01)
*Mar  7 04:21:15.263: Vi1 IPCP: I CONFREQ [ACKrcvd] id 9 len 10
*Mar  7 04:21:15.263: Vi1 IPCP:    Address 172.16.10.1 (0x0306AC100A01)
*Mar  7 04:21:15.263: Vi1 AAA/AUTHOR/IPCP: Start.  
Her address 172.16.10.1, we want 172.16.10.1
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766):
Port='Virtual-Access1' list='' service=NET
*Mar  7 04:21:15.267: AAA/AUTHOR/IPCP: Vi1 (2052567766) user='tac'
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766): send AV service=ppp
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766): send AV protocol=ip
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766): send AV
addr*172.16.10.1
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766): found list
"default"
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP (2052567766): Method=radius
(radius)
*Mar  7 04:21:15.267: RADIUS: unrecognized Microsoft VSA type 10
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR (2052567766): Post authorization
status = PASS_REPL
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Reject 172.16.10.1, using
172.16.10.1
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#11Z1`1k1}111
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Processing AV addr*172.16.10.1
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  7 04:21:15.267: Vi1 AAA/AUTHOR/IPCP: Done.  
Her address 172.16.10.1, we want 172.16.10.1
*Mar  7 04:21:15.271: Vi1 IPCP: O CONFACK [ACKrcvd] id 9 len 10
*Mar  7 04:21:15.271: Vi1 IPCP:    Address 172.16.10.1 (0x0306AC100A01)
*Mar  7 04:21:15.271: Vi1 IPCP: State is Open
*Mar  7 04:21:15.271: Vi1 IPCP: Install route to 172.16.10.1
*Mar  7 04:21:22.571: Vi1 LCP: I ECHOREP [Open] id 1 len 12 magic
0x35BE1CB0
*Mar  7 04:21:22.571: Vi1 LCP: Received id 1, sent id 1, line up
*Mar  7 04:21:30.387: Vi1 LCP: I ECHOREP [Open] id 2 len 12 magic
0x35BE1CB0
*Mar  7 04:21:30.387: Vi1 LCP: Received id 2, sent id 2, line up

angela#show vpdn
%No active L2TP tunnels
%No active L2F tunnels
PPTP Tunnel and Session Information Total tunnels 1 sessions 1
LocID Remote Name     State    Remote Address  Port  Sessions
29                    estabd   192.168.1.47    2000  1
LocID RemID TunID Intf    Username      State   Last Chg
29    32768 29    Vi1     tac           estabd  00:00:31
%No active PPPoE tunnels
angela#

*Mar  7 04:21:40.471: Vi1 LCP: I ECHOREP [Open] id 3 len 12 magic
0x35BE1CB0
*Mar  7 04:21:40.471: Vi1 LCP: Received id 3, sent id 3, line up
*Mar  7 04:21:49.887: Vi1 LCP: I ECHOREP [Open] id 4 len 12 magic
0x35BE1CB0
*Mar  7 04:21:49.887: Vi1 LCP: Received id 4, sent id 4, line up

angela#ping 192.168.1.47
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.47, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 484/584/732 ms

*Mar  7 04:21:59.855: Vi1 LCP: I ECHOREP [Open] id 5 len 12 magic
0x35BE1CB0
*Mar  7 04:21:59.859: Vi1 LCP: Received id 5, sent id 5, line up
*Mar  7 04:22:06.323: Tnl 29 PPTP: timeout -> state change estabd to estabd
*Mar  7 04:22:08.111: Tnl 29 PPTP: EchoRQ -> state change estabd to estabd
*Mar  7 04:22:08.111: Tnl 29 PPTP: EchoRQ -> echo state change Idle to Idle
*Mar  7 04:22:09.879: Vi1 LCP: I ECHOREP [Open] id 6 len 12 magic
0x35BE1CB0
*Mar  7 04:22:09.879: Vi1 LCP: Received id 6, sent id 6, line up

angela#ping 172.16.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 584/707/1084 ms

*Mar  7 04:22:39.863: Vi1 LCP: I ECHOREP [Open] id 7 len 12 magic
0x35BE1CB0
*Mar  7 04:22:39.863: Vi1 LCP: Received id 7, sent id 7, line up

angela#clear vpdn tunnel pptp tac
Could not find specified tunnel

angela#show vpdn tunnel
%No active L2TP tunnels
%No active L2F tunnels
PPTP Tunnel Information Total tunnels 1 sessions 1
LocID Remote Name     State    Remote Address  Port  Sessions
29                    estabd   192.168.1.47    2000  1
%No active PPPoE tunnels

angela#
*Mar  7 04:23:05.347: Tnl 29 PPTP: timeout -> state change estabd to estabd

angela#
*Mar  7 04:23:08.019: Tnl 29 PPTP: EchoRQ -> state change estabd to estabd
*Mar  7 04:23:08.019: Tnl 29 PPTP: EchoRQ -> echo state change Idle to Idle

angela#
*Mar  7 04:23:09.887: Vi1 LCP: I ECHOREP [Open] id 10 len 12 magic 0x35BE1CB0
*Mar  7 04:23:09.887: Vi1 LCP: Received id 10, sent id 10, line up

Verifiëren

Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

Bepaalde opdrachten worden ondersteund door het gereedschap Uitvoertolk, waarmee u een analyse van de opdrachtoutput kunt bekijken.

  • vpdn - Hiermee geeft u informatie weer over actieve Level 2 Forwarding (L2F)-protocoltunnels en berichten in een VPDN.

Je kunt ook show vpdn gebruiken? om andere VPDN-specifieke show opdrachten te zien.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Opdrachten voor troubleshooting

Bepaalde opdrachten worden ondersteund door het gereedschap Uitvoertolk, waarmee u een analyse van de opdrachtoutput kunt bekijken.

Opmerking: Voordat u debug-opdrachten afgeeft, raadpleegt u Belangrijke informatie over debug-opdrachten.

  • debug van verificatie - Informatie over AAA/TACACS+-verificatie.

  • debug van een autorisatie - Informatie over AAA/TACACS+ autorisatie wordt weergegeven.

  • debug PPP-onderhandeling - Hier worden PPP-pakketten weergegeven die tijdens PPP-start worden verzonden, waar PPP-opties worden onderhandeld.

  • debug van PPP-verificatie - Hier worden verificatieprotocolberichten weergegeven, inclusief Challenge Verificatie Protocol (CHAP)-pakketuitwisselingen en PAP-uitwisselingen (Wachtwoord Verificatieprotocol).

  • debug straal - Hiermee geeft u gedetailleerde zuiveringsinformatie weer die bij de RADIUS hoort. Als de authenticatie werkt, maar er problemen met MPPE encryptie zijn, gebruik dan een van de debug opdrachten hieronder.

  • debug ppp MPE-pakket - Hier wordt al het inkomende uitgaande MPPE-verkeer weergegeven.

  • debug ppp mppe - displays belangrijke gebeurtenissen MPPE.

  • debug ppp gedetailleerd - displays breedband MPPE-informatie.

  • debug vpdn l2x-pakketten - Hiermee geeft u berichten weer over L2F-protocolkoppen en -status.

  • debug vpdn - displays over gebeurtenissen die deel uitmaken van de normale tunnelinstelling of de sluiting.

  • debug vpdn - fouten van beeldschermen die verhinderen dat een tunnel wordt aangelegd of fouten die een ingestelde tunnel laten sluiten.

  • debug VPDN-pakketten - hiermee wordt elk uitgewisseld protocol-pakket weergegeven. Deze optie kan resulteren in een groot aantal debug-berichten en dient in het algemeen alleen op een debug chassis met één actieve sessie te worden gebruikt.

Split-tunneling

Laten we aannemen dat de gateway router een ISP router is. Wanneer de PPTP-tunnel op de PC komt, wordt de PPTP-route geïnstalleerd met een hogere metrische waarde dan het vorige standaard, dus verliezen we de internetverbinding. Om dit te verhelpen, wijzig de routing van Microsoft om de standaard te verwijderen en de standaardroute opnieuw te installeren (dit vereist het weten van het IP-adres dat de PPTP-client is toegewezen); voor het huidige voorbeeld was dit 172.16.10.1 ) : 

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.1.47 metric 1
route add 172.16.10.1 mask 255.255.255.0 192.168.1.47 metric 1

Als de client niet is ingesteld voor versleuteling

Onder het tabblad Beveiliging op de inbelverbinding die voor de PPTP-sessie wordt gebruikt, kunt u de parameters voor gebruikersverificatie definiëren. Dit kan bijvoorbeeld een aanmelding bij een PP-, CHAP-, MS-CHAP- of Windows-domein zijn. Als u de optie Geen encryptie toegestaan hebt geselecteerd (server sluit de verbindingen af als er encryptie nodig is) in het gedeelte Properties van de VPN-verbinding, kunt u een PPTP foutbericht op de client zien: 

Registering your computer on the network..
Error 734:  The PPP link control protocol was terminated.
Debugs on the  router:
*Mar  8 22:38:52.496: Vi1 AAA/AUTHOR/FSM: Check for unauthorized mandatory
AV's
*Mar  8 22:38:52.496: Vi1 AAA/AUTHOR/FSM: Processing AV service=ppp
*Mar  8 22:38:52.496: Vi1 AAA/AUTHOR/FSM: Processing AV protocol=ccp
*Mar  8 22:38:52.496: Vi1 AAA/AUTHOR/FSM: Succeeded
*Mar  8 22:38:52.500: Vi1 CCP: O CONFACK [ACKrcvd] id 7 len 10
*Mar  8 22:38:52.500: Vi1 CCP:    MS-PPC supported bits 0x01000020
(0x120601000020)
*Mar  8 22:38:52.500: Vi1 CCP: State is Open
*Mar  8 22:38:52.500: Vi1 MPPE: RADIUS keying material missing
*Mar  8 22:38:52.500: Vi1 CCP: O TERMREQ [Open] id 5 len 4
*Mar  8 22:38:52.524: Vi1 IPCP: I CONFREQ [ACKrcvd] id 8 len 10
*Mar  8 22:38:52.524: Vi1 IPCP:    Address 0.0.0.0 (0x030600000000)
*Mar  8 22:38:52.524: Vi1 AAA/AUTHOR/IPCP: Start.  
Her address 0.0.0.0, we want 172.16.10.1
*Mar  8 22:38:52.524: Vi1 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  8 22:38:52.524: Vi1 AAA/AUTHOR/IPCP: Processing AV protocol=ip
*Mar  8 22:38:52.524: Vi1 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  8 22:38:52.524: Vi1 AAA/AUTHOR/IPCP: Done.  
Her address 0.0.0.0, we want 172.16.10.1
*Mar  8 22:38:52.524: Vi1 IPCP: O CONFNAK [ACKrcvd] id 8 len 10
*Mar  8 22:38:52.524: Vi1 IPCP:    Address 172.16.10.1 (0x0306AC100A01)
*Mar  8 22:38:52.640: Vi1 CCP: I TERMACK [TERMsent] id 5 len 4
*Mar  8 22:38:52.640: Vi1 CCP: State is Closed
*Mar  8 22:38:52.640: Vi1 MPPE: Required encryption not negotiated
*Mar  8 22:38:52.640: Vi1 IPCP: State is Closed
*Mar  8 22:38:52.640: Vi1 PPP: Phase is TERMINATING [0 sess, 0 load]
*Mar  8 22:38:52.640: Vi1 LCP: O TERMREQ [Open] id 13 len 4
*Mar  8 22:38:52.660: Vi1 IPCP: LCP not open, discarding packet
*Mar  8 22:38:52.776: Vi1 LCP: I TERMACK [TERMsent] id 13 len 4
*Mar  8 22:38:52.776: Vi1 AAA/AUTHOR/FSM: (0): LCP succeeds trivially
*Mar  8 22:38:52.780: Vi1 LCP: State is Closed
*Mar  8 22:38:52.780: Vi1 PPP: Phase is DOWN [0 sess, 0 load]
*Mar  8 22:38:52.780: Vi1 VPDN: Cleanup
*Mar  8 22:38:52.780: Vi1 VPDN: Reset
*Mar  8 22:38:52.780: Vi1 
Tnl/Cl 33/33 PPTP: close -> state change estabd to terminal
*Mar  8 22:38:52.780: Vi1 Tnl/Cl 33/33 PPTP: 
Destroying session, trace follows:
*Mar  8 22:38:52.780: -Traceback= 60C4A150 60C4AE48 60C49F68 60C4B5AC
60C30450 60C18B10 60C19238 60602CC4 605FC380 605FB730 605FD614 605F72A8
6040DE0C 6040DDF8
*Mar  8 22:38:52.784: Vi1 Tnl/Cl 33/33 PPTP: 
Releasing idb for tunnel 33 session 33
*Mar  8 22:38:52.784: Vi1 VPDN: Reset
*Mar  8 22:38:52.784: Tnl 33 PPTP: 
no-sess -> state change estabd to wt-stprp
*Mar  8 22:38:52.784: Vi1 VPDN: Unbind interface
*Mar  8 22:38:52.784: Vi1 VPDN: Unbind interface
*Mar  8 22:38:52.784: Vi1 VPDN: Reset
*Mar  8 22:38:52.784: Vi1 VPDN: Unbind interface

Als de client is ingesteld voor versleuteling en de router niet

Het volgende bericht is te zien op de pc:

Registering your computer on the network..
Errror 742: The remote computer doesnot support the required data
encryption type.
On the Router:
*Mar  9 01:06:00.868: Vi2 CCP: I CONFREQ [Not negotiated] id 5 len 10
*Mar  9 01:06:00.868: Vi2 CCP:    MS-PPC supported bits 0x010000B1
(0x1206010000B1)
*Mar  9 01:06:00.868: Vi2 LCP: O PROTREJ [Open] id 18 len 16 protocol CCP
(0x80FD0105000A1206010000B1)
*Mar  9 01:06:00.876: Vi2 IPCP: I CONFREQ [REQsent] id 6 len 34
*Mar  9 01:06:00.876: Vi2 IPCP:    Address 0.0.0.0 (0x030600000000)
*Mar  9 01:06:00.876: Vi2 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Mar  9 01:06:00.876: Vi2 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Mar  9 01:06:00.876: Vi2 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Mar  9 01:06:00.876: Vi2 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Mar  9 01:06:00.880: Vi2 AAA/AUTHOR/IPCP: Start.  
Her address 0.0.0.0, we want 0.0.0.0
*Mar  9 01:06:00.880: Vi2 AAA/AUTHOR/IPCP: Processing AV service=ppp
*Mar  9 01:06:00.880: Vi2 AAA/AUTHOR/IPCP: Processing AV
mschap_mppe_keys*1p1T11=1v1O1~11a1W11151\1V1M1#1
1Z1`1k1}111
*Mar  9 01:06:00.880: Vi2 AAA/AUTHOR/IPCP: Authorization succeeded
*Mar  9 01:06:00.880: Vi2 AAA/AUTHOR/IPCP: Done.  
Her address 0.0.0.0, we want 0.0.0.0
*Mar  9 01:06:00.880: Vi2 IPCP: Pool returned 172.16.10.1
*Mar  9 01:06:00.880: Vi2 IPCP: O CONFREJ [REQsent] id 6 len 28
*Mar  9 01:06:00.880: Vi2 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
*Mar  9 01:06:00.880: Vi2 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
*Mar  9 01:06:00.880: Vi2 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
*Mar  9 01:06:00.880: Vi2 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
*Mar  9 01:06:00.884: Vi2 IPCP: I CONFACK [REQsent] id 8 len 10
*Mar  9 01:06:00.884: Vi2 IPCP:    Address 172.16.10.100 (0x0306AC100A64)
*Mar  9 01:06:01.024: Vi2 LCP: I TERMREQ [Open] id 7 len 16
(0x79127FBE003CCD74000002E6)
*Mar  9 01:06:01.024: Vi2 LCP: O TERMACK [Open] id 7 len 4
*Mar  9 01:06:01.152: Vi2 Tnl/Cl 38/38 PPTP: ClearReq -> state change
estabd to terminal
*Mar  9 01:06:01.152: Vi2 Tnl/Cl 38/38 PPTP: Destroying session, trace
follows:
*Mar  9 01:06:01.152: -Traceback= 60C4A150 60C4AE48 60C49F68 60C4B2CC
60C4B558 60C485E0 60C486E0 60C48AB8 6040DE0C 6040DDF8
*Mar  9 01:06:01.156: Vi2 Tnl/Cl 38/38 PPTP: Releasing idb for tunnel 38
session 38
*Mar  9 01:06:01.156: Vi2 VPDN: Reset
*Mar  9 01:06:01.156: Tnl 38 PPTP: no-sess -> state change estabd to
wt-stprp
*Mar  9 01:06:01.160: %LINK-3-UPDOWN: Interface Virtual-Access2, changed
state to down
*Mar  9 01:06:01.160: Vi2 LCP: State is Closed
*Mar  9 01:06:01.160: Vi2 IPCP: State is Closed
*Mar  9 01:06:01.160: Vi2 PPP: Phase is DOWN [0 sess, 0 load]
*Mar  9 01:06:01.160: Vi2 VPDN: Cleanup
*Mar  9 01:06:01.160: Vi2 VPDN: Reset
*Mar  9 01:06:01.160: Vi2 VPDN: Unbind interface
*Mar  9 01:06:01.160: Vi2 VPDN: Unbind interface
*Mar  9 01:06:01.160: Vi2 VPDN: Reset
*Mar  9 01:06:01.160: Vi2 VPDN: Unbind interface
*Mar  9 01:06:01.160: AAA/MEMORY: free_user (0x6273D528) user='tac' ruser='' 
port='Virtual-Access2' rem_addr='' authen_type=MSCHAP service=PPP priv=1
*Mar  9 01:06:01.324: Tnl 38 PPTP: StopCCRQ -> state change wt-stprp to wt-stprp
*Mar  9 01:06:01.324: Tnl 38 PPTP: Destroy tunnel
*Mar  9 01:06:02.160: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access2, changed state to down

MS-CHAP uitschakelen wanneer de PC is ingesteld voor versleuteling

Het volgende bericht is te zien op de pc: 

The current encryption selection requires EAP or some version of 
MS-CHAP logon security methods.

Als de gebruiker een incorrecte gebruikersnaam of wachtwoord invoert, kunnen we de volgende uitvoer zien.

Op de PC: 

Verifying Username and Password..
Error 691: Access was denied because the username and/or password 
was invalid on the domain.

Op de router: 

*Mar  9 01:13:43.192: RADIUS: Received from id 139 10.200.20.245:1645, 
Access-Reject, len 42
*Mar  9 01:13:43.192: Attribute 26 22 0000013702101545
*Mar  9 01:13:43.192: AAA/AUTHEN (608505327): status = FAIL
*Mar  9 01:13:43.192: Vi2 CHAP: Unable to validate Response. Username tac:
Authentication failure
*Mar  9 01:13:43.192: Vi2 MS-CHAP: O FAILURE id 21 len 13 msg is "E=691 R=0"
*Mar  9 01:13:43.192: Vi2 PPP: Phase is TERMINATING [0 sess, 0 load]
*Mar  9 01:13:43.192: Vi2 LCP: O TERMREQ [Open] id 20 len 4
*Mar  9 01:13:43.196: AAA/MEMORY: free_user (0x62740E7C) user='tac'
ruser='' port='Virtual-Access2' rem_addr='' authen_type=MSCHAP service=PPP
priv=1

Wanneer de RADIUS-server niet-communicatief is

U kunt de volgende uitvoer op de router zien: 

*Mar  9 01:18:32.944: RADIUS: Retransmit id 141
*Mar  9 01:18:42.944: RADIUS: Tried all servers.
*Mar  9 01:18:42.944: RADIUS: No valid server found. Trying any viable server
*Mar  9 01:18:42.944: RADIUS: Tried all servers.
*Mar  9 01:18:42.944: RADIUS: No response for id 141
*Mar  9 01:18:42.944: Radius: No response from server
*Mar  9 01:18:42.944: AAA/AUTHEN (374484072): status = ERROR

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
06-Sep-2004
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten