Como configurar o PPTP do concentrador VPN 3000 com autenticação local

Opções de download

  • PDF     (548.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (444.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (848.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de dezembro de 2006
ID do documento:14101

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Cisco VPN 3000 Concentrator suporta o método de tunelamento Point-to-Point Tunnel Protocol (PPTP) para clientes nativos do Windows. Há suporte para criptografia de 40 e 128 bits disponível nesses concentradores VPN para uma conexão segura e confiável.

Consulte Configurando o VPN 3000 Concentrator PPTP com a autenticação RADIUS do Cisco Secure ACS para Windows para configurar o VPN Concentrator para usuários PPTP com autenticação estendida usando o Cisco Secure Access Control Server (ACS).

Pré-requisitos

Requisitos

Certifique-se de atender aos pré-requisitos mencionados em Quando a criptografia PPTP é suportada em um Cisco VPN 3000 Concentrator? antes de tentar essa configuração.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Concentrador VPN 3015 com versão 4.0.4.A

  • PC Windows com cliente PPTP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

altigapptp-diag.gif

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar o VPN 3000 Concentrator com autenticação local

Conclua estes passos para configurar o VPN 3000 Concentrator com Autenticação Local.

  1. Configure os respectivos endereços IP no VPN Concentrator e verifique se você tem conectividade.

  2. Certifique-se de que a autenticação PAP esteja selecionada na guia PPTP/L2TP Configuration > User Management > Base Group.

    altigapptp-1.gif

  3. Selecione Configuration > System > Tunneling Protocols > PPTP e certifique-se de que Enabled esteja marcado.

    altigapptp-2.gif

  4. Selecione Configuration > User Management > Groups > Add e configure um grupo PPTP. Neste exemplo, o nome do grupo é "pptpgroup" e a senha (e a senha de verificação) é "cisco123".

    altigapptp-3.gif

  5. Na guia General (Geral) do grupo, certifique-se de que a opção PPTP esteja habilitada nos protocolos de autenticação.

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. Na guia PPTP/L2TP, habilite a autenticação PAP e desabilite a criptografia (a criptografia pode ser habilitada a qualquer momento no futuro).

    altigapptp-5.gif

  7. Selecione Configuration > User Management > Users > Add e configure um usuário local (chamado "pptpuser") com a senha cisco123 para autenticação PPTP. Coloque o usuário no "pptpgroup" definido anteriormente:

    altigapptp-6.gif

  8. Na guia General (Geral) do usuário, certifique-se de que a opção PPTP esteja ativada nos protocolos de tunelamento.

    altigapptp-7.gif

  9. Selecione Configuration > System > Address Management > Pools para definir um pool de endereços para o gerenciamento de endereços.

    altigapptp-8.gif

  10. Selecione Configuration > System > Address Management > Assignment e direcione o VPN Concentrator para usar o pool de endereços.

    altigapptp-9.gif

Configuração do Microsoft PPTP Client

Observação: nenhuma das informações disponíveis aqui sobre como configurar o software Microsoft é fornecida com qualquer garantia ou suporte para o software Microsoft. O suporte para o software Microsoft está disponível na Microsoftleavingcisco.com.

Windows 98 - Instalar e configurar o recurso PPTP

Instalação

Conclua estas etapas para instalar o recurso PPTP.

  1. Selecione Start > Settings > Control Panel > Add New Hardware (Next) > Select from List > Network Adapter (Next).

  2. Selecione Microsoft no painel esquerdo e Microsoft VPN Adapter no painel direito.

Configurar

Conclua estas etapas para configurar o recurso PPTP.

  1. Selecione Start > Programs > Accessories > Communications > Dial Up Networking > Make new connection.

  2. Conecte-se usando o Adaptador VPN Microsoft no prompt Select a device. O IP do servidor VPN é o ponto final do túnel 3000.

A autenticação padrão do Windows 98 usa criptografia de senha (por exemplo, CHAP ou MSCHAP). Para desabilitar inicialmente essa criptografia, selecione Properties > Server types e desmarque as caixas Encrypted Password e Require Data Encryption.

Windows 2000 - Configurando o recurso PPTP

Conclua estas etapas para configurar o recurso PPTP.

  1. Selecione Start > Programs > Accessories > Communications > Network and Dialup connections > Make new connection.

  2. Clique em Next e selecione Connect to a private network through the Internet > Dial a connection prior (não selecione esta opção se você usa uma LAN).

  3. Clique em Next novamente e insira o nome de host ou o IP do ponto final do túnel, que é a interface externa do VPN 3000 Concentrator. Neste exemplo, o endereço IP é 161.44.17.1.

Selecione Properties > Security for the connection > Advanced para adicionar um tipo de senha como PAP. O padrão é MSCHAP e MSCHAPv2, não CHAP ou PAP.

A criptografia de dados é configurável nessa área. Você pode desativá-lo inicialmente.

Windows NT

Você pode acessar informações sobre como configurar clientes Windows NT para PPTP no site da Microsoftleavingcisco.com.

Windows Vista

Conclua estas etapas para configurar o recurso PPTP.

  1. No botão Start, escolha Connect To.

  2. Escolha Configurar uma conexão ou rede.

  3. Escolha Conectar-se a um local de trabalho e clique em Avançar.

  4. Selecione Usar minha conexão com a Internet (VPN).

    Observação: se for solicitado "Deseja usar uma conexão já existente", escolha Não, crie uma nova conexão e clique em Avançar.

  5. No campo Endereço de Internet, digite pptp.vpn.univ.edu, por exemplo.

  6. No campo Destination Name, digite UNIVVPN, por exemplo.

  7. No campo Nome de usuário, digite sua ID de logon UNIV. Sua ID de logon UNIV é a parte do seu endereço de e-mail antes de @univ.edu.

  8. No campo Senha, digite sua senha de ID de logon UNIV.

  9. Clique no botão Create e, em seguida, clique no botão Close.

  10. Para se conectar ao servidor VPN depois de criar a conexão VPN, clique em Start e em Connect to.

  11. Escolha a conexão VPN na janela e clique em Connect.

Adicionar MPPE (criptografia)

Certifique-se de que a conexão PPTP funcione sem criptografia antes de adicionar criptografia. Por exemplo, clique no botão Connect no cliente PPTP para certificar-se de que a conexão seja concluída. Se você decidir exigir criptografia, a autenticação MSCHAP deverá ser usada. No VPN 3000, selecione Configuration > User Management > Groups. Em seguida, na guia PPTP/L2TP do grupo, desmarque PAP, marque MSCHAPv1 e marque Required for PPTP Encryption.

altigapptp-10.gif

O cliente PPTP deve ser reconfigurado para criptografia de dados opcional ou necessária e MSCHAPv1 (se for uma opção).

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

Verifique o VPN Concentrator

Você pode iniciar a sessão PPTP discando a partir do cliente PPTP criado anteriormente na seção Configuração do Microsoft PPTP Client.

Use a janela Administração >Administrar sessões no VPN Concentrator para exibir os parâmetros e as estatísticas de todas as sessões PPTP ativas.

Verificar o PC

Emita o comando ipconfig no modo de comando do PC para ver se o PC tem dois endereços IP. Um é seu próprio endereço IP e o outro é atribuído pelo VPN Concentrator a partir do pool de endereços IP. Neste exemplo, o endereço IP 172.16.1.10 é o endereço IP atribuído pelo VPN Concentrator.

altigapptp-15.gif

Debug

Se a conexão não funcionar, a depuração da classe de evento PPTP pode ser adicionada ao VPN Concentrator. Selecione Configuration > System > Events > Classes > Modify ou Add (mostrado aqui). As classes de evento PPTPDBG e PPTPDECODE também estão disponíveis, mas podem fornecer muitas informações.

altigapptp-11.gif

O registro de eventos pode ser recuperado em Monitoring > Filterable Event Log.

altigapptp-12.gif

Depuração do VPN 3000 - Boa autenticação 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Clique na janela Detalhes do status do usuário PPTP para verificar os parâmetros no PC com Windows.

altigapptp-16.gif

Troubleshooting

Estes são possíveis erros que você pode encontrar:

  • Nome de usuário ou senha incorretos

    Saída de depuração do VPN 3000 Concentrator: 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    A mensagem que o usuário vê (do Windows 98): 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    A mensagem que o usuário vê (do Windows 2000):

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • "Encryption Required" (Criptografia necessária) é selecionado no PC, mas não no VPN Concentrator

    A mensagem que o usuário vê (do Windows 98): 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    A mensagem que o usuário vê (do Windows 2000): 

    Error 742: The remote computer does not support 
the required data encryption type

  • A "Criptografia necessária" (128 bits) é selecionada no VPN Concentrator com um PC que suporta apenas a criptografia de 40 bits

    Saída de depuração do VPN 3000 Concentrator: 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    A mensagem que o usuário vê (do Windows 98): 

    Error 742:  The remote computer does not support 
the required data encryption type.

    A mensagem que o usuário vê (do Windows 2000): 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • O VPN 3000 Concentrator está configurado para MSCHAPv1 e o PC está configurado para PAP, mas eles não podem concordar com um método de autenticação

    Saída de depuração do VPN 3000 Concentrator: 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    A mensagem que o usuário vê (do Windows 2000): 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

Possíveis problemas da Microsoft a serem solucionados

  • Como Manter conexões de RAS Ativas Após o Fim da Sessão

    Quando você faz logoff de um cliente RAS (Serviço de Acesso Remoto) do Windows, todas as conexões RAS são desconectadas automaticamente. Habilite a chave KeepRasConnections no registro do cliente RAS para permanecer conectado após o logoff. Consulte o Artigo da Base de Conhecimento Microsoft - 158909leavingcisco.com para obter mais informações.

  • O Usuário Não é Alertado ao Conectar com Credenciais no Cache

    Os sintomas desse problema são quando você tenta fazer logon em um domínio de uma estação de trabalho baseada no Windows ou de um servidor membro e um controlador de domínio não pode ser localizado e nenhuma mensagem de erro é exibida. Em vez disso, você será conectado ao computador local usando as credenciais em cache. Consulte o Artigo da Base de Conhecimento Microsoft - 242536leavingcisco.com para obter mais informações.

  • Como Escrever um Arquivo LMHOSTS para a Validação de Domínio e Outros Problemas de Resolução de Nomes

    Pode haver situações em que você tenha problemas de resolução de nomes em sua rede TCP/IP e precise usar arquivos LMHOSTS para resolver nomes NetBIOS. Este artigo discute o método apropriado usado para criar um arquivo LMHOSTS para ajudar na resolução de nomes e na validação de domínio. Consulte o Artigo da Base de Conhecimento Microsoft - 18094leavingcisco.com para obter mais informações.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
11-Dec-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco