Configurando o VPN 3000 Concentrator PPTP com autenticação RADIUS do Cisco Secure ACS para Windows

Opções de download

  • PDF     (320.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (354.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (709.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de janeiro de 2008
ID do documento:13829

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

O Cisco VPN 3000 Concentrator suporta o método de tunelamento PPTP (Point-to-Point Tunnel Protocol) para clientes nativos do Windows. O concentrador suporta criptografia de 40 e 128 bits para uma conexão segura e confiável. Este documento descreve como configurar o PPTP em um VPN 3000 Concentrator com o Cisco Secure ACS for Windows para autenticação RADIUS.

Consulte Configurando o Cisco Secure PIX Firewall para Usar o PPTP para configurar conexões PPTP com o PIX.

Consulte Configuração da Autenticação PPTP do Cisco Secure ACS for Windows Router para configurar uma conexão de PC ao roteador; isso fornece autenticação de usuário ao servidor Cisco Secure Access Control System (ACS) 3.2 para Windows antes de permitir que o usuário entre na rede.

Antes de Começar

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Prerequisites

Este documento pressupõe que a autenticação PPTP local está funcionando antes de adicionar a autenticação Cisco Secure ACS para Windows RADIUS. Consulte Como configurar o VPN 3000 Concentrator PPTP com autenticação local para obter mais informações sobre a autenticação PPTP local. Para obter uma lista completa de requisitos e restrições, consulte When Is PPTP Encryption Supported on a Cisco VPN 3000 Concentrator? (Quando a criptografia PPTP é suportada em um Cisco VPN 3000 Concentrator?)

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Cisco Secure ACS para Windows versões 2.5 e posteriores

  • VPN 3000 Concentrator versões 2.5.2.C e posteriores (essa configuração foi verificada com a versão 4.0.x.)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

altigacsnt-diag-new-1.gif

Configurando o VPN 3000 Concentrator

Adição e configuração do Cisco Secure ACS para Windows

Siga estas etapas para configurar o VPN Concentrator para usar o Cisco Secure ACS for Windows.

  1. No VPN 3000 Concentrator, vá para Configuration > System > Servers > Authentication Servers e adicione o servidor e a chave Cisco Secure ACS for Windows ("cisco123" neste exemplo).

    altigacsnt-01-new.gif

  2. No Cisco Secure ACS para Windows, adicione o VPN Concentrator à configuração de rede do servidor ACS e identifique o tipo de dicionário.

    altigacsnt-02-new.gif

  3. No Cisco Secure ACS for Windows, vá para Interface Configuration > RADIUS (Microsoft) e verifique os atributos do Microsoft Point-to-Point Encryption (MPPE) para que os atributos apareçam na interface do grupo.

    altigacsnt-03.gif

  4. No Cisco Secure ACS para Windows, adicione um usuário. No grupo do usuário, adicione os atributos MPPE (Microsoft RADIUS), caso você precise de criptografia posteriormente.

    altigacsnt-04.gif

  5. No VPN 3000 Concentrator, vá para Configuration > System > Servers > Authentication Servers. Selecione um servidor de autenticação na lista e, em seguida, selecione Testar. Teste a autenticação do VPN Concentrator para o servidor Cisco Secure ACS for Windows inserindo um nome de usuário e uma senha.

    Em uma boa autenticação, o VPN Concentrator deve mostrar uma mensagem "Authentication Successful" (Autenticação bem-sucedida). Falhas no Cisco Secure ACS for Windows estão registradas em Relatórios e Atividade > Tentativas com Falha. Em uma instalação padrão, esses relatórios são armazenados em disco em C:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts.

    altigacsnt-05.gif

  6. Como agora você verificou se a autenticação do PC para o VPN Concentrator funciona e do concentrador para o servidor Cisco Secure ACS for Windows, você pode reconfigurar o VPN Concentrator para enviar usuários PPTP para o Cisco Secure ACS for Windows RADIUS movendo o servidor Cisco Secure ACS for Windows para o topo da lista de servidores. Para fazer isso no VPN Concentrator, vá para Configuration > System > Servers > Authentication Servers.

    altigacsnt-06-new.gif

  7. Vá para Configuration > User Management > Base Group e selecione a guia PPTP/L2TP. No grupo base do VPN Concentrator, certifique-se de que as opções para PAP e MSCHAPv1 estejam ativadas.

    altigacsnt-07.gif

  8. Selecione a guia Geral e verifique se o PPTP é permitido na seção Protocolos de tunelamento.

    altigacsnt-08.gif

  9. Teste a autenticação PPTP com o usuário no servidor Cisco Secure ACS for Windows RADIUS. Se isso não funcionar, consulte a seção Depuração.

Adicionando MPPE (Criptografia)

Se a autenticação do Cisco Secure ACS para Windows RADIUS PPTP funcionar sem criptografia, você poderá adicionar MPPE ao VPN 3000 Concentrator.

  1. No VPN Concentrator, vá para Configuration > User Management > Base Group.

  2. Na seção Criptografia PPTP, verifique as opções para Obrigatório, 40 bits e 128 bits. Como nem todos os PCs suportam a criptografia de 40 e 128 bits, verifique as duas opções para permitir a negociação.

  3. Na seção Protocolos de autenticação PPTP, marque a opção para MSCHAPv1. (Você já configurou os atributos de usuário do Cisco Secure ACS para Windows 2.5 para criptografia em uma etapa anterior.)

    altigacsnt-09.gif

    Observação: o cliente PPTP deve ser reconhecido para criptografia de dados ideal ou necessária e MSCHAPv1 (se uma opção).

Relatório de adição

Depois de estabelecer a autenticação, você pode adicionar a contabilidade ao VPN Concentrator. Vá para Configuration > System > Servers > Accounting Servers e adicione o servidor Cisco Secure ACS for Windows.

No Cisco Secure ACS para Windows, os registros de contabilidade são exibidos da seguinte forma.

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,Acct-Session-Id,
   Acct-Session-Time,Service-Type,Framed-Protocol,Acct-Input-Octets,Acct-Output-Octets,
   Acct-Input-Packets,Acct-Output-Packets,Framed-IP-Address,NAS-Port,NAS-IP-Address
03/18/2000,08:16:20,CSNTUSER,Default Group,,Start,8BD00003,,Framed,
   PPP,,,,,1.2.3.4,1163,10.2.2.1
03/18/2000,08:16:50,CSNTUSER,Default Group,,Stop,8BD00003,30,Framed,
   PPP,3204,24,23,1,1.2.3.4,1163,10.2.2.1

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Habilitando a depuração

Se as conexões não funcionarem, você poderá adicionar classes de eventos PPTP e AUTH ao VPN Concentrator indo-se em Configuration > System > Events > Classes > Modify. Você também pode adicionar classes de eventos PPTPDBG, PPTPDECODE, AUTHDBG e AUTHDECODE, mas essas opções podem fornecer muitas informações.

altigacsnt-10.gif

Você pode recuperar o log de eventos indo para Monitoring > Event Log.

altigacsnt-11-new.gif

Depurações - Boa autenticação

As boas depurações no VPN Concentrator serão semelhantes às seguintes.

1 12/06/2000 09:26:16.390 SEV=4 PPTP/47 RPT=20 10.44.17.179
Tunnel to peer 161.44.17.179 established
2 12/06/2000 09:26:16.390 SEV=4 PPTP/42 RPT=20 10.44.17.179
Session started on tunnel 161.44.17.179
3 12/06/2000 09:26:19.400 SEV=7 AUTH/12 RPT=22
Authentication session opened: handle = 22
4 12/06/2000 09:26:19.510 SEV=6 AUTH/4 RPT=17 10.44.17.179
Authentication successful: handle = 22, server = 10.2.2.5,
user = CSNTUSER
5 12/06/2000 09:26:19.510 SEV=5 PPP/8 RPT=17 10.44.17.179
User [ CSNTUSER ]
Authenticated successfully with MSCHAP-V1
6 12/06/2000 09:26:19.510 SEV=7 AUTH/13 RPT=22
Authentication session closed: handle = 22
7 12/06/2000 09:26:22.560 SEV=4 AUTH/21 RPT=30
User CSNTUSER connected

Possíveis erros

Você pode encontrar possíveis erros, como mostrado abaixo.

Nome de usuário ou senha incorreta no servidor Cisco Secure ACS for Windows RADIUS

  • Saída de depuração do VPN 3000 Concentrator

    6 12/06/2000 09:33:03.910 SEV=4 PPTP/47 RPT=21 10.44.17.179
Tunnel to peer 10.44.17.179 established

7 12/06/2000 09:33:03.920 SEV=4 PPTP/42 RPT=21 10.44.17.179
Session started on tunnel 10.44.17.179

8 12/06/2000 09:33:06.930 SEV=7 AUTH/12 RPT=23 
Authentication session opened: handle = 23

9 12/06/2000 09:33:07.050 SEV=3 AUTH/5 RPT=4 10.44.17.179
Authentication rejected: Reason = Unspecified
handle = 23, server = 10.2.2.5, user = baduser

11 12/06/2000 09:33:07.050 SEV=5 PPP/9 RPT=4 10.44.17.179
User [ baduser ]
disconnected.. failed authentication ( MSCHAP-V1 )

12 12/06/2000 09:33:07.050 SEV=7 AUTH/13 RPT=23
Authentication session closed: handle = 23

  • saída de log do Cisco Secure ACS para Windows

    03/18/2000,08:02:47,Authen failed, baduser,,,CS user 
unknown,,,1155,10.2.2.1

  • A mensagem que o usuário vê (do Windows 98)

    Error 691: The computer you have dialed in to has denied access because 
the username and/or password is invalid on the domain.

"Criptografia MPPE necessária" está selecionada no concentrador, mas o servidor Cisco Secure ACS for Windows não está configurado para MS-CHAP-MPPE-Keys e MS-CHAP-MPPE-Types

  • Saída de depuração do VPN 3000 Concentrator

    Se AUTHDECODE (1-13 Gravidade) e depuração PPTP (1-9 Gravidade) estiverem ativados, o registro mostra que o servidor Cisco Secure ACS para Windows não está enviando o atributo 26 específico do fornecedor (0x1A) no access-accept do servidor (registro parcial).

    2221 12/08/2000 10:01:52.360 SEV=13 AUTHDECODE/0 RPT=545 
0000: 024E002C 80AE75F6 6C365664 373D33FE     .N.,..u.l6Vd7=3.
0010: 6DF74333 501277B2 129CBC66 85FFB40C     m.C3P.w....f....
0020: 16D42FC4 BD020806 FFFFFFFF                 ../.........

2028 12/08/2000 10:00:29.570 SEV=5 PPP/13 RPT=12 10.44.17.179 
User [ CSNTUSER ] disconnected. Data encrypt required. Auth server 
or auth protocol will not support encrypt.

  • A saída do registro do Cisco Secure ACS para Windows não mostra falhas.

  • A mensagem que o usuário vê

    Error 691: The computer you have dialed in to has denied access because 
the username and/or password is invalid on the domain.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
15-Jan-2008
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco