このドキュメントでは、Point-to-Point Tunnel Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)に関する FAQ について解説します。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
A.どのCisco IOS®ソフトウェアリリースがPPTPをサポートしているかを確認するには、Feature Navigatorツール(登録ユーザ専用)を使用します。 このツールを使用すると、Cisco IOSソフトウェアリリースを比較したり、Cisco IOSソフトウェアおよびCatOS機能をリリースと照合したり、ハードウェアをサポートするために必要なソフトウェアリリースを見つけることができます。
A. PPTPはCisco Secure PIX Firewallバージョン5.1で初めて導入されました。『PIX 6.x:RADIUS認証を使用したPPTPの設定例』を参照してください。
注:PIXファイアウォール機能でのPPTP終端は、バージョン7.x以降ではサポートされていません。
A. MPPEにはMicrosoft Challenge Handshake Authentication Protocol(MS-CHAP)が必要です。 RADIUSまたはローカル認証でのみ動作し、RADIUSサーバはMPPE-Keys属性値をサポートする必要があります。
以下に、一部のプラットフォームでの MPPE 互換性を示します。
Cisco Secure ACS for UNIX(CSUNIX):いいえ
アクセスレジストラ – いいえ
Funk RADIUS – はい
Cisco Secure ACS for Windows:はい
Microsoft Windows 2000 Internet Authentication Server:はい
A. PPTPは、Cisco 7100/7200ルータのCisco IOSソフトウェアリリース12.0(5)XE5で最初にサポートされました。その後、Cisco IOSソフトウェアリリース12.1(5)TでCisco IOSの一般的なプラットフォームサポートに移行しました。
A.この情報は、VPN 3000シリーズコンセントレータソフトウェアリリース3.5以降に基づいています。VPN 3000シリーズコンセントレータ、モデル3005、3015、3030、3060、3080。および Microsoft オペレーティング システム Windows 95 以降に基づいています。
Windows 95 Dial-Up Networking(DUN)1.2
Microsoft Point-to-Point Encryption (MPPE)は、DUN 1.2ではサポートされていません。MPPEを使用して接続するには、Windows 95 DUN 1.3をインストールしてください。Microsoft DUN 1.3 アップグレードは、Microsoft の Web サイトからダウンロードできます。
Windows NT 4.0
Windows NTは、VPNコンセントレータへのPPTP接続で完全にサポートされています。Service Pack 3(SP3)以降が必要です。SP3を実行している場合は、PPTP Performance and Securityパッチをインストールします。『PPTP Performance and Security Upgrade for WinNT 4.0』に関する情報は Microsoft の Web サイトを参照してください。 この問題の解決策は、後で Service Pack を追加することなく、NT 4.0 Server Option Pack を再インストールする方法しかありません。
注:128ビットのService Pack 5ではMPPEキーが正しく処理されず、PPTPでデータの受け渡しが失敗する可能性があります。これが発生した場合は、イベント ログに次のメッセージが記録されます。
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 User [ testuser ] disconnected. Experiencing excessive packet decrypt failure.詳細については、Microsoftの記事「MPPE Keys Not Handled Correctly for a 128-Bit MS-CHAP Request 」を参照してください。
A. Cisco IOSソフトウェアリリース12.1T以降では、PPTPパススルーまたはPPTP over PAT機能がサポートされています。詳細については、『Cisco IOSソフトウェア12.1T早期配備リリースシリーズ』の「NAT – オーバーロード(ポートアドレス変換)設定でのPPTPのサポート」セクションを参照してください。Cisco IOSルータでPATまたはPPTPパススルーを介してPPTPを設定する方法については、『IPトンネリング:Microsoft PPTPサーバへのPATを介したPPTPの設定』を参照してください。
PIX バージョン 6.3 以降では、PPTP フィックスアップ機能を使用して、PPTP パススルーや PAT を介した PPTP がサポートされています。この機能により、PATが設定されている場合に、PPTPトラフィックがPIXを通過できるようになります。このプロセスでは、PIX により PPTP のステートフル インスペクションが行われます。PIXでPPTPフィックスアップを設定するには、『アプリケーションインスペクションの設定(フィックスアップ)』の「PPTP設定」の項を参照してください。fixup protocol pptp 1723 コマンドで PPTP フィックスアップを設定します。
A.これらのポートを開きます。
TCP/1723
IP Protocol/47 GRE
詳細は、『PIXを介したPPTP接続の許可』を参照してください。
A.次のバグが確認されています。
CSCdt46181(登録ユーザ専用) – 詳細はCisco IOS PPTPの脆弱性を参照してください。
CSCdz47290(登録ユーザ専用):Cisco Express Forwarding(CEF)がグローバルに有効な場合にPPTPファスト/プロセススイッチングが失敗する。
CSCdx86482(登録ユーザ専用) - PPTPトンネリングが壊れています。
CSCdt11570(登録ユーザ専用):128ビットのMicrosoft Point-to-Point Encryption(MPPE)がハードウェア統合サービスモジュール(ISM)で動作しません。
CSCdt66607(登録ユーザ専用):PPTP 128ビットMPPEはCisco Secure ACS for Windowsでは動作しません。
CSCdu19654(登録ユーザ専用):PPTPが失敗する。
CSCdv50861(登録ユーザ専用):MPPEはWindows 2000とネゴシエートしません。
登録ユーザは、Cisco Bug Toolkit(登録ユーザ専用)を使用してバグの詳細を表示することができます。
A. PPTPに関する制限事項がいくつかあります。
PPTP は、Cisco Express Forwarding(CEF)とプロセススイッチングのみサポートします。ファストスイッチングはサポートされていません。
Cisco IOSソフトウェアは、PPTP Network Server(PNS)としてのボランティアトンネリングのみをサポートします。
MPPE のサポートには暗号化のイメージが必要です。MPPEにはMicrosoft Challenge Authentication Protocol(MS-CHAP)認証が必要で、MPPEはTACACS+ではサポートされていません。
A.これらのデバッグを探してください。
aaa 認証のデバッグ
debug aaa authorization
debug radius
debug ppp negotiation
debug ppp authentication
debug vpdn events
debug vpdn errors
debug vpdn l2x-packet
debug ppp mppe events
debug ppp chap _ クライアントが認証を通過しているかどうかを示します。
これらの重要なイベントを探します。
SCCRQ = Start-Control-Connection-Request - message code bytes 9 and 10 = 0001 SCCRP = Start-Control-Connection-Reply OCRQ = Outgoing-Call-Request - message code bytes 9 and 10 = 0007 OCRP = Outgoing-Call-Reply
A.このエラーは、ルータとPCが認証をネゴシエートできないことを示しています。たとえば、Shiva PAP(SPAP)とMicrosoft Challenge Authentication Protocol(MS-CHAP)バージョン2(ルータがバージョン2を実行できない場合)のPC認証プロトコルを設定し、ルータをCHAP用に設定すると、ルータのdebug ppp negotiationコマンドが出力を表示します。
04:30:55: Vi1 LCP: Failed to negotiate with peerもう1つの例は、ルータがvpdn group 1 ppp encrypt mppe 40 requiredに設定され、PCが「no encryption allowed」に設定されている場合です。 PC では接続が行われず、「Error 734」が発生します。さらに、ルータでの debug ppp negotiation コマンドには次の出力が表示されます。
04:51:55: Vi1 LCP: I PROTREJ [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)
A.このエラーは、リモートコンピューターが必要なデータ暗号化の種類をサポートしていないことを意味します。たとえば、PCを「暗号化のみ」に設定し、ルータからpptp encrypt mppe autoコマンドを削除した場合は、PCとルータは暗号化に同意できません。debug ppp negotiation コマンドには次の出力が表示されます。
04:41:09: Vi1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)もう1つの例は、ルータのMPPE RADIUSの問題です。ルータにppp encrypt mppe auto requiredを設定し、PCに「authentication allowed with authentication to a RADIUS server not returning the MPPE key」を設定すると、PCで「Error 742:リモートコンピューターは、必要なデータ暗号化の種類をサポートしていません。 ルータのデバッグでは、次に示すように「Call-Clear-Request」(バイト 9 と 10 が 0x000C、10 進表示では 12、つまり Call-Clear-Request per RFC)が表示されます。
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ
A.この問題を解決するには、バッチファイル(batch.bat)を実行してMicrosoftルーティングを変更します。デフォルトを削除し、デフォルトルートを再インストールします(PPTPクライアントに割り当てられたIPアドレス(192.168.1.1など)。
この例では、ルータ内のネットワークは10.13.1.xです。
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1 route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1
A. PPTPのトラブルシューティングを行う際に考慮すべき、いくつかのMicrosoft関連の問題を次に示します。MS-DOS ウィンドウまたは Run ウィンドウから ipconfig /all と入力します。
Windows Remote Access Service (RAS) connections are automatically disconnected when you log off from a RAS client.You can remain connected by enabling the KeepRasConnections registry key on the RAS client.
キャッシュされたクレデンシャルを使用してログインするときにユーザに警告が通知されない
Windowsベースのワークステーションまたはメンバサーバからドメインにログオンしていて、ドメインコントローラが見つからない場合は、この問題を示すエラーメッセージは表示されません。その代わり、キャッシュされたクレデンシャルを使用してローカル コンピュータにログインされます。
ドメインの検証および他の名前解決に関する問題のために LMHOSTS ファイルを作成する方法
TCP/IPネットワークで名前解決の問題が発生した場合は、NetBIOS名を解決するためにLmhostsファイルを使用する必要があります。You must follow a specific procedure to create an Lmhosts file to use in name resolution and domain validation.