PPTP Frequently Asked Questions

Introduction

Este documento trata das perguntas freqüentes sobre o Protocolo de Túnel Ponto a Ponto (PPTP)

Consulte as Convenções utilizadas nas Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Hardware

P. Como posso determinar que plataformas oferecem suporte ao PPTP?

A. Você pode determinar quais releases do Cisco IOS® Software oferecem suporte ao PPTP usando a Feature Navigator Tool ( somente clientes registrados) . A ferramenta permite que você compare releases do Cisco IOS Software, corresponda recursos do Cisco IOS e do CatOS a releases e descubra qual software release você precisa para oferecer suporte ao seu hardware.

P. Quando o PPTP foi introduzido pela primeira vez no Cisco Secure PIX Firewall?

A. O PPTP foi introduzido primeiro no Cisco Secure PIX Firewall versão 5.1. Consulte o PIX 6.x: Exemplo de Configuração de PPTP com Autenticação Radius para obter mais informações.

Observação: a terminação PPTP no recurso PIX firewall não é suportada na versão 7.x ou posterior.

P. Há algum detalhe sobre o Microsoft Point-to-Point Encryption (MPPE) que eu preciso saber?

A. O MPPE requer o Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Ele funciona somente como autenticação local ou RADIUS, e o servidor Radius deve oferecer suporte ao valor de atributo MPPE-Keys.

Esta lista mostra algumas plataformas e suas compatibilidades de MPPE.

• Cisco Secure ACS para UNIX (CSUNIX) - Não

• Access Registrar - Não

• Funk RADIUS - Sim

• Cisco Secure ACS for Windows - Sim

• Internet Authentication Server do Microsoft Windows 2000 - Sim

P. Que versão do software Cisco IOS suportava PPTP inicialmente?

A. O PPTP era suportado inicialmente no Cisco IOS Software Release 12.0(5)XE5 em Cisco 7100/7200 Routers. Ele então foi adicionado ao suporte de plataforma geral do Cisco IOS no Cisco IOS Software Release 12.1(5)T.

P. Quais são alguns dos problemas de compatibilidade conhecidos entre os produtos PPTP da Microsoft e o VPN 3000 Concentrator?

A. Estas informações baseiam-se no VPN 3000 Series Concentrator Software Release 3.5 ou posterior; VPN 3000 Series Concentrators, Modelos 3005, 3015, 3030, 3060, 3080; e sistemas operacionais Microsoft Windows 95 e posteriores.

• Rede de comunicação dial-up do Windows 95 (DUN) 1.2

  Não há suporte à Microsoft Point-to-Point Encryption (MPPE) no DUN 1.2. Instale o DUN 1.3 do Windows 95 para conectar usando a MPPE. Você pode fazer o download da atualização do Microsoft DUN 1.3 no site da Microsoft.

• Windows NT 4.0

  O Windows NT é inteiramente compatível com conexões PPTP para o VPN Concentrator. É necessário o Service Pack 3 (SP3) ou posterior. Se você executa o SP3, instale os patches de desempenho de PPTP e segurança. Consulte o site da Microsoft na Web para obter informações sobre a atualização de desempenho de PPTP e segurança para o WinNT 4.0. A única resolução para isso é reinstalar o NT 4.0 Server Option Pack sem adicionar o Service Pack depois disso.

  Observação: o Service Pack 5 de 128 bits não lida corretamente com as chaves MPPE e o PPTP pode falhar ao transmitir dados. Quando isso ocorre, o log de eventos mostra essa mensagem.

  103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
  User [ testuser ] 
  disconnected. Experiencing excessive packet decrypt failure.

  Consulte o artigo da Microsoft Chaves MPPE Não Manipuladas Corretamente para uma Solicitação de MS-CHAP de 128 bitspara obter mais informações.

P. Os Cisco IOS Routers ou PIX Firewalls oferecem suporte à passagem de PPTP ou ao recurso PPTP sobre Port Address Translation (PAT)?

A. Os Cisco IOS Software Releases 12.1T e posteriores oferecem suporte à passagem de PPTP ou ao recurso PPTP sobre PAT. Consulte a seção "NAT - Suporte ao PPTP em uma Configuração com Sobrecarga (Port Address Translation)" na Cisco IOS Software 12.1T Early Deployment Release Series para obter mais informações. Consulte Tunelamento IP - Configuração do PPTP via PAT para um Microsoft PPTP Server para configurar o PPTP sobre PAT ou a passagem de PPTP em um Cisco IOS Router.

O PIX versões 6.3 e posteriores oferecem suporte ao passthrough PPTP ou PPTP sobre PAT usando o recurso PPTP fixup. Este recurso permite que o tráfego PPTP atravesse o PIX quando configurado para PAT. O PIX executa uma inspeção stateful de pacotes PPTP no processo. Consulte a seção Configuração do PPTP em Configuração da Inspeção de Aplicativos (Fixup) para configurar o PPTP fixup no PIX. O comando fixup protocol pptp 1723 configura PPTP fixup.

Troubleshoot

P. Quais portas devem ser abertas em um firewall para acomodar os túneis PPTP?

A. Abra estas portas.

• TCP/1723

• IP Protocol/47 GRE

  Consulte Habilitação de Conexões PPTP via PIX para obter mais informações.

P. Quais são os bugs conhecidos do PPTP do Cisco IOS Software?

A. Estes bugs foram identificados:

• CSCdt46181 (somente clientes registrados) - Consulte Vulnerabilidade PPTP do Cisco IOS para obter mais informações.

• CSCdz47290 (somente clientes registrados) - Comutação rápida/de processo PPTP interrompida quando o Cisco Express Forwarding (CEF) é ativado globalmente.

• CSCdx86482 (somente clientes registrados) - O tunelamento PPTP está quebrado.

• CSCdt11570 (somente clientes registrados) - O MPPE (Microsoft Point-to-Point Encryption) de 128 bits não funciona no ISM (Hardware Integrated Services Module).

• CSCdt66607 (somente clientes registrados) - O MPPE PPTP de 128 bits não funciona com o Cisco Secure ACS for Windows.

• CSCdu19654 (somente clientes registrados) - O PPTP falha.

• CSCdv50861 (somente clientes registrados) - A MPPE não negocia com o Windows 2000.

Os clientes registrados podem visualizar detalhes de bugs usando o Cisco Bug Toolkit (somente clientes registrados) para obter mais informações.

P. Quais são algumas limitações do PPTP?

A. Estas são algumas das limitações ao PPTP.

• PPTP oferece suporte apenas a Cisco Express Forwarding (CEF) e switching de processo. Não há suporte ao fast switching.

• O Cisco IOS Software oferece suporte somente ao tunelamento voluntário como o PPTP Network Server (PNS).

• Você precisa de imagens de criptografia para o suporte à MPPE. A MPPE necessita do Microsoft Challenge Authentication Protocol (MS-CHAP), e não há suporte à MPPE com o TACACS+.

P. Quais eventos de depuração significativos devo procurar ao solucionar problemas de PPTP em um roteador?

A. Procure estas depurações.

• debug aaa authentication

• debug aaa authorization

• debug radius

• negociação de debug ppp

• debug ppp authentication

• debug vpdn events

• debug vpdn errors

• debug vpdn l2x-packet

• debug ppp mppe events

• debug ppp chap

Procure estes eventos significativos.

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

P. O que significa quando recebo a mensagem "Erro 734" e, em seguida, sou desconectado?

A. Esse erro indica que o roteador e o PC não podem negociar a autenticação. Por exemplo, se você definir os protocolos de autenticação no PC para Shiva PAP (SPAP) e Microsoft Challenge Authentication Protocol (MS-CHAP) versão 2 (quando o roteador é incapaz de fazer a versão 2) e configurar o roteador para CHAP, o comando debug ppp negotiation no roteador exibirá esta saída.

04:30:55: Vi1 LCP: Failed to negotiate with peer

Um outro exemplo é se o roteador está configurado para vpdn group 1 ppp encrypt mppe 40 required e o PC está ajustado para o "nenhuma criptografia permitida". O PC não conecta e produz um "erro 734", e o comando debug ppp negotiation no roteador exibe esta saída.

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

P. O que significa o “Erro 742”?

A. Este erro significa que o computador remoto não oferece suporte ao tipo da criptografia de dados necessária. Por exemplo, se você configurar o PC para "somente criptografia" e excluir o comando pptp encrypt mppe auto do roteador, o PC e o roteador não poderão concordar com a criptografia. O comando debug ppp negotiation mostra essa saída.

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

Outro exemplo envolve o problema com o roteador MPPE RADIUS. Se você definir o roteador para ppp encrypt mppe auto required e o PC para "criptografia permitida com autenticação em um servidor RADIUS que não retorna a chave MPPE", então você obterá um erro no PC que indica"Error 742: The remote computer does not support the required data encryption type." A depuração do roteador exibe "Call-Clear-Request" (bytes 9 e 10 = 0x000C = 12 = Call-Clear-Request por RFC) como visto aqui.

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

P. Acho que tenho um problema de tunelamento dividido. O que devo fazer quando um túnel PPTP ficar ativo em um PC, o roteador PPTP tiver uma métrica mais elevada que o padrão anterior e eu perder a conectividade?

A. Execute um arquivo de lote (batch.bat) para alterar o roteamento da Microsoft para resolver este problema. Exclua o padrão e reinstale a rota padrão (você deve conhecer o endereço IP atribuído ao cliente PPTP, como 192.168.1.1).

Neste exemplo, a rede dentro do roteador é 10.13.1.x.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

P. Quais são alguns dos problemas a considerar no troubleshooting do PPTP?

A. Aqui são listadas várias questões relativas à Microsoft a serem consideradas durante o Troubleshooting do PPTP. Informações detalhadas estão disponíveis na base de conhecimento Microsoft nos links fornecidos.

• Como Manter conexões de RAS Ativas Após o Fim da Sessão

  As conexões de Remote Access Service (RAS) do Windows são desconectadas automaticamente quando você faz logout de um cliente RAS. Você pode permanecer conectado habilitando a chave de registro KeepRasConnections no cliente RAS.

• O Usuário Não é Alertado ao Conectar com Credenciais no Cache

  Se você está conectando em um domínio de uma estação de trabalho Windows ou servidor membro e o controlador de domínio não pode ser encontrado, você não recebe uma mensagem de erro para indicar esse problema. Em vez disso, você será conectado ao computador local usando as credenciais em cache.

• Como Escrever um Arquivo LMHOSTS para a Validação de Domínio e Outros Problemas de Resolução de Nomes

  Se você está experimentando problemas de resolução de nomes em sua rede TCP/IP, talvez seja necessário utilizar arquivos Lmhosts para resolver nomes NetBIOS. É necessário seguir um procedimento específico para criar um arquivo Lmhosts a ser usado na resolução de nome e na validação de domínio.

Informações Relacionadas

• Página de suporte do PPTP
• Página de suporte do PIX
• Página de suporte dos concentradores da série VPN 3000
• RFC 2637: Point-to-Point Tunneling Protocol (PPTP)
• Suporte Técnico e Documentação - Cisco Systems