PPTP – Forum aux questions

Introduction

Ce document aborde des questions fréquemment posées au sujet du protocole PPTP (Point-to-Point Tunnel Protocol).

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Matériel

Q. Comment puis-je déterminer les plates-formes qui prennent en charge PPTP ?

A. Vous pouvez déterminer les versions du logiciel Cisco IOS® qui prennent en charge PPTP à l'aide de l'outil Navigateur de fonctionnalités (clients inscrits seulement). L'outil vous permet de comparer les versions du logiciel Cisco IOS, de mettre en correspondance le logiciel Cisco IOS et les fonctionnalités CatOS avec les versions, et de découvrir la version de logiciel dont vous avez besoin pour prendre en charge votre matériel.

Q. Quand PPTP a-t-il d'abord été introduit dans Cisco Secure PIX Firewall ?

A. PPTP a été introduit pour la première fois dans le pare-feu Cisco Secure PIX version 5.1. Consultez PIX 6.x : Exemple de configuration PPTP avec authentification Radius pour plus d'informations.

Remarque : la terminaison PPTP sur la fonctionnalité de pare-feu PIX n'est pas prise en charge dans les versions 7.x et ultérieures.

Q. Existe-t-il des détails sur le chiffrement MPPE (Microsoft Point-to-Point Encryption) que je dois connaître ?

A. MPPE requiert le protocole d'authentification à échanges confirmés Microsoft (MS-CHAP). Il fonctionne seulement avec RADIUS ou l'authentification locale, et le serveur RADIUS doit prendre en charge la valeur d'attribut MPPE-Keys.

Cette liste montre quelques plates-formes et leur compatibilité MPPE.

• Cisco Secure ACS pour UNIX (CSUNIX) - Non

• Access Registrar - Non

• Funk RADIUS - Oui

• Cisco Secure ACS pour Windows - Oui

• Microsoft Windows 2000 Internet Authentication Server - Oui

Q. Quelle version du logiciel Cisco IOS prenait en charge PPTP initialement ?

A. PPTP était initialement pris en charge dans le logiciel Cisco IOS Version 12.0(5)XE5 sur les routeurs Cisco 7100/7200. Ce fut ensuite la prise en charge de la plate-forme générale Cisco IOS dans le logiciel Cisco IOS Version 12.1(5)T.

Q. Quels sont les problèmes de compatibilité connus avec les produits Microsoft PPTP et le concentrateur VPN 3000 ?

A. Ces informations sont basées sur les versions 3.5 et ultérieures du logiciel des concentrateurs VPN de la gamme 3000 ; concentrateurs VPN de la gamme 3000, modèles 3005, 3015, 3020, 3030, 3060, 3080 ; et systèmes d'exploitation Microsoft Windows 95 et ultérieurs.

• Accès réseau à distance (DUN) 1.2 sous Windows 95

  Le chiffrement MPPE n'est pas pris en charge sous DUN 1.2. Pour vous connecter à l'aide de MPPE, installez Windows 95 DUN 1.3. Vous pouvez télécharger la mise à niveau Microsoft DUN 1.3 sur le site Web de Microsoft.

• Windows NT 4.0

  Windows NT est pleinement pris en charge pour des connexions PPTP au concentrateur VPN. Le Service Pack 3 (SP3) ou ultérieur est requis. Si vous exécutez SP3, installez les correctifs sur les performances et la sécurité PPTP. Référez-vous au site Web de Microsoft pour plus d'informations sur la Mise à niveau des performances et de la sécurité PPTP pour WinNT 4.0 . La seule résolution pour ceci est de réinstaller NT 4.0 Server Option Pack sans ajouter le Service Pack après.

  Remarque : le Service Pack 5 128 bits ne gère pas correctement les clés MPPE et PPTP peut échouer à transmettre les données. Quand ceci se produit, le journal d'événements affiche ce message.

  103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
  User [ testuser ] 
  disconnected. Experiencing excessive packet decrypt failure.

  Référez-vous à l'article de Microsoft Les clés MPPE non gérées correctement pour une demande de MS-CHAP 128 bits pour plus d'informations.

Q. Est-ce que les routeurs Cisco IOS ou pare-feu PIX prennent en charge la fonctionnalité PPTP direct ou PPTP sur la traduction d'adresses de port (PAT) ?

A. Les versions 12.1T et ultérieures du logiciel Cisco IOS prennent en charge la fonctionnalité PPTP pass-through ou PPTP over PAT. Pour plus d'informations, référez-vous à la section « NAT - Prise en charge de PPTP dans une configuration de surcharge (traduction d'adresses de port) » dans Gamme des versions du logiciel Cisco IOS 12.1T Early Deployment. Référez-vous à Transmission tunnel IP - Configuration de PPTP via PAT sur un serveur Microsoft PPTP pour configurer PPTP sur PAT ou PPTP direct sur un routeur Cisco IOS.

Les versions 6.3 et ultérieures de PIX prennent en charge PPTP direct ou PPTP sur PAT à l'aide de la fonctionnalité de correction PPTP. Cette fonctionnalité permet au trafic PPTP de traverser PIX une fois configuré pour PAT. PIX effectue une inspection des paquets PPTP avec état dans le processus. Référez-vous à la section sur la configuration PPTP dans Configuration de l'inspection d'applications (correction) pour configurer une correction PPTP sur PIX. La commande fixup protocol pptp 1723 configure la correction PPTP.

Dépannage

Q. Quels ports dois-je ouvrir sur un pare-feu afin d'accueillir les tunnels PPTP ?

A. Ouvrez ces ports.

• TCP/1723

• Protocole IP/47 GRE

  Référez-vous à Autorisation de connexions PPTP via PIX pour plus d'informations.

Q. Quels sont les bogues PPTP connus du logiciel Cisco IOS ?

A. Ces bogues ont été identifiés:

• CSCdt46181 (clients enregistrés uniquement) - Référez-vous à Vulnérabilité PPTP de Cisco IOS pour plus d'informations.

• CSCdz47290 (clients enregistrés uniquement) : commutation PPTP rapide/processus interrompue lorsque Cisco Express Forwarding (CEF) est activé globalement.

• CSCdx86482 (clients enregistrés uniquement) - La transmission tunnel PPTP est interrompue.

• CSCdt11570 (clients enregistrés uniquement) - Le cryptage point à point Microsoft (MPPE) 128 bits ne fonctionne pas sur le module ISM (Integrated Services Module) matériel.

• CSCdt66607 (clients enregistrés uniquement) - PPTP MPPE 128 bits ne fonctionne pas avec Cisco Secure ACS pour Windows.

• CSCdu19654 (clients enregistrés uniquement) - Échec de PPTP.

• CSCdv50861 (clients enregistrés uniquement) - MPPE ne négocie pas avec Windows 2000.

Les clients inscrits peuvent consulter les détails des bogues en utilisant la boîte à outils des bogues Cisco (clients enregistrés uniquement) pour plus d'informations.

Q. Quelles sont les limitations de PPTP ?

A. PPTP présente quelques limitations.

• PPTP prend seulement en charge CEF (Cisco Express Forwarding) et la commutation de processus. La commutation rapide n'est pas prise en charge.

• Le logiciel Cisco IOS prend seulement en charge le tunneling volontaire comme serveur PNS (PPTP Network Server).

• Vous avez besoin d'images chiffrées pour la prise en charge MPPE. MPPE exige l'authentification MS-CHAP (Microsoft Challenge Authentication Protocol) et MPPE n'est pas pris en charge avec TACACS+.

Q. Quels événements de débogage significatifs dois-je rechercher quand je dépanne PPTP sur un routeur ?

A. Recherchez ces débogages.

• debug aaa authentication

• debug aaa authorization

• debug radius

• debug ppp negotiation

• debug ppp authentication

• debug vpdn events

• debug vpdn errors

• debug vpdn l2x-packet

• debug ppp mppe events

• debug ppp chap

Recherchez ces événements significatifs.

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

Q. Que signifie le fait que je reçoive le message « Erreur 734 », puis que je sois déconnecté ?

A. Cette erreur indique que le routeur et le PC ne peuvent pas négocier d'authentification. Par exemple, si vous définissez des protocoles d'authentification de PC pour Shiva PAP (SPAP) et MS-CHAP (Microsoft Challenge Authentication Protocol) version 2 (quand le routeur ne peut pas faire la version 2), et que vous définissez le routeur pour CHAP, la commande debug ppp negotiation sur le routeur affiche cette sortie.

04:30:55: Vi1 LCP: Failed to negotiate with peer

Un autre exemple est si le routeur est défini pour vpdn group 1 ppp encrypt mppe 40 required et le PC est défini pour « aucun chiffrement permis ». Le PC ne se connecte pas et produit une « Erreur 734 », et la commande debug ppp negotiation sur le routeur affiche cette sortie.

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

Q. Que signifie « Erreur 742 »?

A. Cette erreur signifie que l'ordinateur distant ne prend pas en charge le type de chiffrement des données requis. Par exemple, si vous définissez le PC comme étant « chiffré seulement » et supprimez la commande pptp encrypt mppe auto du routeur, le PC et le routeur ne peuvent pas être d'accord sur le chiffrement. La commande debug ppp negotiation affiche cette sortie.

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

Un autre exemple implique le problème MPPE RADIUS du routeur. Si vous définissez le routeur pour ppp encrypt mppe auto required et le PC pour « chiffrement autorisé avec authentification sur un serveur RADIUS ne retournant pas de clé MPPE », une erreur s'affiche sur le PC qui indique « Error 742: The remote computer does not support the required data encryption type ». Le débogage du routeur affiche une « Call-Clear-Request » (octets 9 et 10 = 0x000C = 12 = Call-Clear-Request per RFC) comme illustré ici.

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

Q. Je crois que j'ai un problème de transmission tunnel partagée. Que dois-je faire lorsqu'un tunnel PPTP apparaît sur un PC, le routeur PPTP a une mesure plus élevée que la valeur par défaut précédente et je perds la connectivité ?

A. Exécutez un fichier batch (batch.bat) pour modifier le routage Microsoft afin de résoudre ce problème. Supprimez la valeur par défaut et réinstallez la route par défaut (vous devez connaître l'adresse IP affectée au client PPTP, telle que 192.168.1.1).

Dans cet exemple, le réseau à l'intérieur du routeur est 10.13.1.x.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

Q. Quels sont les problèmes à prendre en compte quand je dépanne PPTP ?

A. Plusieurs problèmes liés à Microsoft à prendre en compte quand vous dépannez PPTP sont mentionnés ici. Des informations détaillées sont disponibles dans la Base de connaissances Microsoft avec les liens fournis.

• Comment maintenir des connexions RAS actives après fermeture de session

  Les connexions Windows RAS (Remote Access Service) sont automatiquement déconnectées lorsque vous fermez la session d'un client RAS. Vous pouvez rester connecté en activant la clé de Registre KeepRasConnections sur le client RAS.

• L'utilisateur n'est pas alerté en ouvrant une session avec les informations d'identification mises en cache

  Si vous ouvrez une session sur un domaine à partir d'une station de travail Windows ou d'un serveur membre et que le contrôleur de domaine est introuvable, vous ne recevez pas de message d'erreur indiquant ce problème. Au lieu de cela, vous ouvrez une session sur l'ordinateur local à l'aide des informations d'identification mises en cache.

• Procédures pour écrire un fichier LMHOSTS pour la validation de domaine et autres problèmes de résolution de noms

  Si vous rencontrez des problèmes de résolution de noms sur votre réseau TCP/IP, vous devrez peut-être utiliser des fichiers Lmhosts pour résoudre des noms NetBIOS. Vous devez suivre une procédure spécifique pour créer un fichier Lmhosts à utiliser dans la résolution de noms et la validation de domaine.

Informations connexes

• Page de support PPTP
• Page de support PIX
• Page d'assistance de concentrateurs VPN série 3000
• RFC 2637 : Protocole de tunnellisation point à point (PPTP)
• Support et documentation techniques - Cisco Systems