Hoe de VPN 3000 Concentrator PPTP met lokale verificatie te configureren

Inleiding

De Cisco VPN 3000 Concentrator ondersteunt de PPTP-tunnelmethode (Point-to-Point Tunnel Protocol) voor native Windows-clients. Er is 40-bits en 128-bits coderingsondersteuning beschikbaar op deze VPN Concentrators voor een beveiligde betrouwbare verbinding.

Raadpleeg De VPN 3000 Concentrator PPTP met Cisco Secure ACS voor Windows RADIUS-verificatie configureren om de VPN Concentrator voor PPTP-gebruikers met uitgebreide verificatie te configureren met behulp van de Cisco Secure Access Control Server (ACS).

Voorwaarden

Vereisten

Zorg ervoor dat u voldoet aan de vereisten die worden vermeld in Wanneer wordt PPTP-encryptie ondersteund op een Cisco VPN 3000 Concentrator? voordat u deze configuratie probeert.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• VPN 3015 Concentrator met versie 4.0.4.A

• Windows-pc met PPTP-client

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

De VPN 3000 Concentrator configureren met lokale verificatie

Voltooi deze stappen om de VPN 3000 Concentrator met Lokale verificatie te configureren.

1. Configureer de betreffende IP-adressen in de VPN Concentrator en zorg ervoor dat u beschikt over een goede verbinding.

2. Zorg ervoor dat PAP-verificatie is geselecteerd in het tabblad Configuration > User Management > Base Group PPTP/L2TP.

   

3. Selecteer Configuratie > Systeem > Tunneling Protocollen > PPTP en zorg ervoor dat Ingeschakeld is ingeschakeld.

   

4. Selecteer Configuratie > Gebruikersbeheer > Groepen > Een PPTP-groep toevoegen en configureren. In dit voorbeeld is de groepsnaam "pptpgroup" en het wachtwoord (en verify-wachtwoord) is "cisco123".

   

5. Zorg er onder het tabblad Algemeen van de groep voor dat de PPTP-optie is ingeschakeld in verificatieprotocollen.

   

   

6. Schakel onder het tabblad PPTP/L2TP PAP-verificatie in en schakel versleuteling uit (versleuteling kan in de toekomst op elk moment worden ingeschakeld).

   

7. Selecteer Configuratie > Gebruikersbeheer > Gebruikers > Toevoegen en vorm een lokale gebruiker (genaamd "pptpuser") met het wachtwoord cisco123 voor PPTP-verificatie. Plaats de gebruiker in de eerder gedefinieerde 'pptpgroup':

   

8. Zorg er onder het tabblad Algemeen voor de gebruiker voor dat de PPTP-optie is ingeschakeld in tunnelprotocollen.

   

9. Selecteer Configuratie > Systeem > Adresbeheer > Pools om een adrespool voor adresbeheer te definiëren.

   

10. Selecteer Configuratie > Systeem > Adresbeheer > Toewijzing en geef opdracht aan de VPN Concentrator om de adrespool te gebruiken.

    

Microsoft PPTP-clientconfiguratie

Opmerking: geen van de informatie die hier beschikbaar is over het configureren van Microsoft-software wordt geleverd met een garantie of ondersteuning voor Microsoft-software. Ondersteuning voor Microsoft-software is beschikbaar bij Microsoft.

Windows 98 - Installeren en configureren van de PPTP-functie

Installeren

Voltooi deze stappen om de eigenschap te installeren PPTP.

1. Selecteer Start > Instellingen > Configuratiescherm > Nieuwe hardware toevoegen (Volgende) > Selecteer uit lijst > Netwerkadapter (Volgende).

2. Selecteer Microsoft in het linkerdeelvenster en Microsoft VPN-adapter in het rechterdeelvenster.

Configureren

Voltooi deze stappen om de eigenschap te vormen PPTP.

1. Selecteer Start > Programma's > Accessoires > Communicatie > Inbelnetwerken > Nieuwe verbinding maken.

2. Maak verbinding met de Microsoft VPN-adapter via de prompt Selecteer een apparaat. De VPN Server IP is het 3000 tunneleindpunt.

De standaardverificatie van Windows 98 maakt gebruik van wachtwoordcodering (bijvoorbeeld CHAP of MSCHAP). Als u deze codering wilt uitschakelen, selecteert u Eigenschappen > Servertypen en schakelt u de vakjes Encrypted Password en Require Data Encryption uit.

Windows 2000 - De PPTP-functie configureren

Voltooi deze stappen om de eigenschap te vormen PPTP.

1. Selecteer Start > Programma's > Accessoires > Communicatie > Netwerkverbindingen en inbelverbindingen > Maak een nieuwe verbinding.

2. Klik op Volgende en selecteer Verbinding maken met een privaat netwerk via internet > Eerder een verbinding bellen (kies deze optie niet als u een LAN gebruikt).

3. Klik nogmaals op Volgende en voer de Hostname of IP van het tunneleindpunt in. Dit is de buiteninterface van de VPN 3000 Concentrator. In dit voorbeeld is het IP-adres 161.4.17.1.

Selecteer Eigenschappen > Beveiliging voor de verbinding > Geavanceerd om een wachtwoordtype als PAP toe te voegen. De standaardinstelling is MSCHAP en MSCHAPv2, niet CHAP of PAP.

Gegevenscodering kan op dit gebied worden geconfigureerd. U kunt het in eerste instantie uitschakelen.

Windows NT

U kunt informatie over het instellen van Windows NT-clients voor PPTP op de website van Microsoft.

Windows Vista

Voltooi deze stappen om de eigenschap te vormen PPTP.

1. Kies op de knop Start de optie Verbinding maken.

2. Kies Verbinding of Netwerk instellen.

3. Kies Verbinden met een werkplek en klik op Volgende.

4. Kies Mijn internetverbinding (VPN).

   N.B.: Indien u gevraagd wordt om "Wilt u een verbinding gebruiken die u al heeft", kies Nee, maak een nieuwe verbinding en klik op Volgende.

5. Typ bijvoorbeeld in het veld Internet Address pptp.vpn.univ.edu.

6. Typ bijvoorbeeld het veld Bestemmingsnaam voor UNIVPN.

7. Typ in het veld Gebruikersnaam uw UNIV-aanmelding. Uw UNIV Logon ID is het gedeelte van uw e-mailadres voor @univ.edu.

8. Typ in het veld Password uw UNIV Logon ID-wachtwoord.

9. Klik op de knop Maken en klik vervolgens op de knop Sluiten.

10. Klik op Start om verbinding te maken met de VPN-server nadat u de VPN-verbinding hebt gemaakt en vervolgens om verbinding te maken met.

11. Kies de VPN-verbinding in het venster en klik op Verbinden.

MPPE toevoegen (encryptie)

Zorg ervoor dat de verbinding PPTP zonder encryptie werkt alvorens u encryptie toevoegt. Klik bijvoorbeeld op de knop Connect op de PPTP-client om er zeker van te zijn dat de verbinding voltooid is. Als u een codering wenst, moet MSCHAP-verificatie worden gebruikt. Selecteer in VPN 3000 de optie Configuratie > Gebruikersbeheer > Groepen. Dan, onder het tabblad PPTP/L2TP voor de groep, uncheck PAP, controleer MSCHAPv1, en controleer Vereist voor PPTP-encryptie.

De PPTP-client moet opnieuw worden geconfigureerd voor optionele of vereiste gegevensintegratie en MSCHAPv1 (als dit een optie is).

Verifiëren

Deze sectie bevat informatie die u kunt gebruiken om te controleren of uw configuratie correct werkt.

Controleer de VPN-concentrator

U kunt de PPTP-sessie starten door te bellen vanaf de PPTP-client die eerder in de sectie Microsoft PPTP Client Configuration is gemaakt.

Gebruik het venster Beheer > Sessies beheren in de VPN Concentrator om de parameters en statistieken voor alle actieve PPTP-sessies te bekijken.

Controleer de pc

Geef het ipconfig bevel in de bevelwijze van PC uit om te zien dat PC twee IP adressen heeft. De ene is zijn eigen IP-adres en de andere wordt toegewezen door de VPN Concentrator uit de pool van IP-adres. In dit voorbeeld is het IP-adres 172.16.1.10 het IP-adres dat door de VPN Concentrator is toegewezen.

Debuggen

Als de verbinding niet werkt, kan de debug van de PPTP-gebeurtenisklasse worden toegevoegd aan de VPN Concentrator. Selecteer Configuratie > Systeem > Gebeurtenissen > Klassen > Wijzigen of Toevoegen (hier getoond). PPTPDBG- en PPTPDECODE-gebeurtenisklassen zijn ook beschikbaar, maar kunnen te veel informatie bieden.

Het gebeurtenissenlogboek kan worden opgehaald uit Bewaking > Filterable Event Log.

VPN 3000 debug - goede verificatie

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Klik op het venster met de details van de PPTP-gebruikersstatus om de parameters op de Windows-pc te controleren.

Problemen oplossen

Dit zijn mogelijke fouten die u kunt tegenkomen:

• Slechte gebruikersnaam of wachtwoord

  VPN 3000 Concentrator debug uitvoer:

  1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 established
  
  2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
     Session started on tunnel 171.69.89.129
  
  3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
     Authentication rejected: Reason = User was not found
     handle = 44, server = (none), user = pptpusers, domain = <not specified>
  
  5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
     User [pptpusers]
     disconnected.. failed authentication ( MSCHAP-V1 )
  
  6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
     Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
     reason: Error (No additional info)
  
  8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

  Het bericht dat de gebruiker ziet (van Windows 98):

  Error 691: The computer you have dialed in to has denied access 
  because the username and/or password is invalid on the domain.

  Het bericht dat de gebruiker ziet (van Windows 2000):

  Error 691: Access was denied because the username and/or 
  password was invalid on the domain.

• "Vereiste versleuteling" is geselecteerd op de pc, maar niet op de VPN Concentrator

  Het bericht dat de gebruiker ziet (van Windows 98):

  Error 742: The computer you're dialing in to does not support the data 
  encryption requirements specified. 
  Please check your encryption settings in the properties of the connection. 
  If the problem persists, contact your network administrator.

  Het bericht dat de gebruiker ziet (vanuit Windows 2000):

  Error 742: The remote computer does not support 
  the required data encryption type

• "Encryption Required" (128-bits) is geselecteerd op de VPN Concentrator met een pc die alleen 40-bits codering ondersteunt

  VPN 3000 Concentrator debug uitvoer:

  4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
  PPTP Encryption configured as REQUIRED.. remote client not supporting it.

  Het bericht dat de gebruiker ziet (van Windows 98):

  Error 742:  The remote computer does not support 
  the required data encryption type.

  Het bericht dat de gebruiker ziet (vanuit Windows 2000):

  Error 645 Dial-Up Networking could not complete the connection to the server.  
  Check your configuration and try the connection again.

• De VPN 3000 Concentrator is geconfigureerd voor MSCHAPv1 en de pc is geconfigureerd voor PAP, maar zij kunnen het niet eens worden over een verificatiemethode

  VPN 3000 Concentrator debug uitvoer:

  8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 
  
  User [pptpuser] disconnected. Authentication protocol not allowed. 

  Het bericht dat de gebruiker ziet (vanuit Windows 2000):

  Error 691:  Access was denied because the username and/or password 
  was invalid on the domain.

Mogelijke Microsoft Problemen oplossen

• Hoe RAS-verbindingen actief te houden na afmelding

  Wanneer u zich afmeldt bij een Windows Remote Access Service (RAS)-client, wordt de verbinding met de RAS automatisch verbroken. Schakel de KeepRasConnections-toets in het register van de RAS-client in om verbonden te blijven nadat u bent afgemeld. Raadpleeg Microsoft Knowledge Base-artikel - 158909 voor meer informatie.

• Gebruiker is niet gewaarschuwd bij inloggen met Cached Credentials

  De symptomen van dit probleem zijn wanneer u probeert aan te melden bij een domein vanaf een Windows-werkstation of een lidserver en er geen domeincontroller kan worden gevonden en er geen foutmelding wordt weergegeven. In plaats daarvan wordt u aangemeld op de lokale computer met behulp van gecachede referenties. Raadpleeg Microsoft Knowledge Base-artikel - 242536 voor meer informatie.

• Hoe een LMHOSTS-bestand te schrijven voor domeinvalidatie en andere problemen met naamoplossing

  Er kunnen gevallen zijn waarin u problemen ondervindt met de naamresolutie in uw TCP/IP-netwerk en u LMHOSTS-bestanden moet gebruiken om NetBIOS-namen op te lossen. Dit artikel bespreekt de juiste methode die wordt gebruikt om een LMHOSTS-bestand te maken om te helpen bij naamresolutie en domeinvalidatie. Raadpleeg het Microsoft Knowledge Base-artikel - 180094 voor meer informatie.

Gerelateerde informatie

• RFC 2637: Point-to-Point Tunneling Protocol (PPTP)
• Cisco Secure ACS voor Windows-ondersteuningspagina's
• Wanneer wordt PPTP-encryptie ondersteund op een Cisco VPN 3000 concentrator?
• De VPN 3000 Concentrator en PPTP configureren met Cisco Secure ACS voor Windows RADIUS-verificatie
• Cisco VPN 3000 ondersteuningspagina's voor Concentrator
• Cisco VPN 3000 pagina's voor clientondersteuning
• IP Security (IPSec) pagina's voor productondersteuning
• PPTP-pagina's voor productondersteuning
• Technische ondersteuning en documentatie – Cisco Systems

Revisiegeschiedenis