Ce document aborde des questions fréquemment posées au sujet du protocole PPTP (Point-to-Point Tunnel Protocol).
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
A. Vous pouvez déterminer les versions du logiciel Cisco IOS® qui prennent en charge PPTP à l'aide de l'outil Navigateur de fonctionnalités (clients inscrits seulement). L'outil vous permet de comparer les versions du logiciel Cisco IOS, de mettre en correspondance le logiciel Cisco IOS et les fonctionnalités CatOS avec les versions, et de découvrir la version de logiciel dont vous avez besoin pour prendre en charge votre matériel.
A. PPTP a été introduit pour la première fois dans le pare-feu Cisco Secure PIX version 5.1. Consultez PIX 6.x : Exemple de configuration PPTP avec authentification Radius pour plus d'informations.
Remarque : la terminaison PPTP sur la fonctionnalité de pare-feu PIX n'est pas prise en charge dans les versions 7.x et ultérieures.
A. MPPE requiert le protocole d'authentification à échanges confirmés Microsoft (MS-CHAP). Il fonctionne seulement avec RADIUS ou l'authentification locale, et le serveur RADIUS doit prendre en charge la valeur d'attribut MPPE-Keys.
Cette liste montre quelques plates-formes et leur compatibilité MPPE.
Cisco Secure ACS pour UNIX (CSUNIX) - Non
Access Registrar - Non
Funk RADIUS - Oui
Cisco Secure ACS pour Windows - Oui
Microsoft Windows 2000 Internet Authentication Server - Oui
A. PPTP était initialement pris en charge dans le logiciel Cisco IOS Version 12.0(5)XE5 sur les routeurs Cisco 7100/7200. Ce fut ensuite la prise en charge de la plate-forme générale Cisco IOS dans le logiciel Cisco IOS Version 12.1(5)T.
A. Ces informations sont basées sur les versions 3.5 et ultérieures du logiciel des concentrateurs VPN de la gamme 3000 ; concentrateurs VPN de la gamme 3000, modèles 3005, 3015, 3020, 3030, 3060, 3080 ; et systèmes d'exploitation Microsoft Windows 95 et ultérieurs.
Accès réseau à distance (DUN) 1.2 sous Windows 95
Le chiffrement MPPE n'est pas pris en charge sous DUN 1.2. Pour vous connecter à l'aide de MPPE, installez Windows 95 DUN 1.3. Vous pouvez télécharger la mise à niveau Microsoft DUN 1.3 sur le site Web de Microsoft.
Windows NT 4.0
Windows NT est pleinement pris en charge pour des connexions PPTP au concentrateur VPN. Le Service Pack 3 (SP3) ou ultérieur est requis. Si vous exécutez SP3, installez les correctifs sur les performances et la sécurité PPTP. Référez-vous au site Web de Microsoft pour plus d'informations sur la Mise à niveau des performances et de la sécurité PPTP pour WinNT 4.0 . La seule résolution pour ceci est de réinstaller NT 4.0 Server Option Pack sans ajouter le Service Pack après.
Remarque : le Service Pack 5 128 bits ne gère pas correctement les clés MPPE et PPTP peut échouer à transmettre les données. Quand ceci se produit, le journal d'événements affiche ce message.
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 User [ testuser ] disconnected. Experiencing excessive packet decrypt failure.Référez-vous à l'article de Microsoft Les clés MPPE non gérées correctement pour une demande de MS-CHAP 128 bits pour plus d'informations.
A. Les versions 12.1T et ultérieures du logiciel Cisco IOS prennent en charge la fonctionnalité PPTP pass-through ou PPTP over PAT. Pour plus d'informations, référez-vous à la section « NAT - Prise en charge de PPTP dans une configuration de surcharge (traduction d'adresses de port) » dans Gamme des versions du logiciel Cisco IOS 12.1T Early Deployment. Référez-vous à Transmission tunnel IP - Configuration de PPTP via PAT sur un serveur Microsoft PPTP pour configurer PPTP sur PAT ou PPTP direct sur un routeur Cisco IOS.
Les versions 6.3 et ultérieures de PIX prennent en charge PPTP direct ou PPTP sur PAT à l'aide de la fonctionnalité de correction PPTP. Cette fonctionnalité permet au trafic PPTP de traverser PIX une fois configuré pour PAT. PIX effectue une inspection des paquets PPTP avec état dans le processus. Référez-vous à la section sur la configuration PPTP dans Configuration de l'inspection d'applications (correction) pour configurer une correction PPTP sur PIX. La commande fixup protocol pptp 1723 configure la correction PPTP.
A. Ouvrez ces ports.
TCP/1723
Protocole IP/47 GRE
Référez-vous à Autorisation de connexions PPTP via PIX pour plus d'informations.
A. Ces bogues ont été identifiés:
CSCdt46181 (clients enregistrés uniquement) - Référez-vous à Vulnérabilité PPTP de Cisco IOS pour plus d'informations.
CSCdz47290 (clients enregistrés uniquement) : commutation PPTP rapide/processus interrompue lorsque Cisco Express Forwarding (CEF) est activé globalement.
CSCdx86482 (clients enregistrés uniquement) - La transmission tunnel PPTP est interrompue.
CSCdt11570 (clients enregistrés uniquement) - Le cryptage point à point Microsoft (MPPE) 128 bits ne fonctionne pas sur le module ISM (Integrated Services Module) matériel.
CSCdt66607 (clients enregistrés uniquement) - PPTP MPPE 128 bits ne fonctionne pas avec Cisco Secure ACS pour Windows.
CSCdu19654 (clients enregistrés uniquement) - Échec de PPTP.
CSCdv50861 (clients enregistrés uniquement) - MPPE ne négocie pas avec Windows 2000.
Les clients inscrits peuvent consulter les détails des bogues en utilisant la boîte à outils des bogues Cisco (clients enregistrés uniquement) pour plus d'informations.
A. PPTP présente quelques limitations.
PPTP prend seulement en charge CEF (Cisco Express Forwarding) et la commutation de processus. La commutation rapide n'est pas prise en charge.
Le logiciel Cisco IOS prend seulement en charge le tunneling volontaire comme serveur PNS (PPTP Network Server).
Vous avez besoin d'images chiffrées pour la prise en charge MPPE. MPPE exige l'authentification MS-CHAP (Microsoft Challenge Authentication Protocol) et MPPE n'est pas pris en charge avec TACACS+.
A. Recherchez ces débogages.
debug aaa authentication
debug aaa authorization
debug radius
debug ppp negotiation
debug ppp authentication
debug vpdn events
debug vpdn errors
debug vpdn l2x-packet
debug ppp mppe events
debug ppp chap
Recherchez ces événements significatifs.
SCCRQ = Start-Control-Connection-Request - message code bytes 9 and 10 = 0001 SCCRP = Start-Control-Connection-Reply OCRQ = Outgoing-Call-Request - message code bytes 9 and 10 = 0007 OCRP = Outgoing-Call-Reply
A. Cette erreur indique que le routeur et le PC ne peuvent pas négocier d'authentification. Par exemple, si vous définissez des protocoles d'authentification de PC pour Shiva PAP (SPAP) et MS-CHAP (Microsoft Challenge Authentication Protocol) version 2 (quand le routeur ne peut pas faire la version 2), et que vous définissez le routeur pour CHAP, la commande debug ppp negotiation sur le routeur affiche cette sortie.
04:30:55: Vi1 LCP: Failed to negotiate with peerUn autre exemple est si le routeur est défini pour vpdn group 1 ppp encrypt mppe 40 required et le PC est défini pour « aucun chiffrement permis ». Le PC ne se connecte pas et produit une « Erreur 734 », et la commande debug ppp negotiation sur le routeur affiche cette sortie.
04:51:55: Vi1 LCP: I PROTREJ [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)
A. Cette erreur signifie que l'ordinateur distant ne prend pas en charge le type de chiffrement des données requis. Par exemple, si vous définissez le PC comme étant « chiffré seulement » et supprimez la commande pptp encrypt mppe auto du routeur, le PC et le routeur ne peuvent pas être d'accord sur le chiffrement. La commande debug ppp negotiation affiche cette sortie.
04:41:09: Vi1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)Un autre exemple implique le problème MPPE RADIUS du routeur. Si vous définissez le routeur pour ppp encrypt mppe auto required et le PC pour « chiffrement autorisé avec authentification sur un serveur RADIUS ne retournant pas de clé MPPE », une erreur s'affiche sur le PC qui indique « Error 742: The remote computer does not support the required data encryption type ». Le débogage du routeur affiche une « Call-Clear-Request » (octets 9 et 10 = 0x000C = 12 = Call-Clear-Request per RFC) comme illustré ici.
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ
A. Exécutez un fichier batch (batch.bat) pour modifier le routage Microsoft afin de résoudre ce problème. Supprimez la valeur par défaut et réinstallez la route par défaut (vous devez connaître l'adresse IP affectée au client PPTP, telle que 192.168.1.1).
Dans cet exemple, le réseau à l'intérieur du routeur est 10.13.1.x.
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1 route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1
A. Plusieurs problèmes liés à Microsoft à prendre en compte quand vous dépannez PPTP sont mentionnés ici. Des informations détaillées sont disponibles dans la Base de connaissances Microsoft avec les liens fournis.
Comment maintenir des connexions RAS actives après fermeture de session
Les connexions Windows RAS (Remote Access Service) sont automatiquement déconnectées lorsque vous fermez la session d'un client RAS. Vous pouvez rester connecté en activant la clé de Registre KeepRasConnections sur le client RAS.
Si vous ouvrez une session sur un domaine à partir d'une station de travail Windows ou d'un serveur membre et que le contrôleur de domaine est introuvable, vous ne recevez pas de message d'erreur indiquant ce problème. Au lieu de cela, vous ouvrez une session sur l'ordinateur local à l'aide des informations d'identification mises en cache.
Si vous rencontrez des problèmes de résolution de noms sur votre réseau TCP/IP, vous devrez peut-être utiliser des fichiers Lmhosts pour résoudre des noms NetBIOS. Vous devez suivre une procédure spécifique pour créer un fichier Lmhosts à utiliser dans la résolution de noms et la validation de domaine.