Dit document behandelt vaak gestelde vragen over Point-to-Point Tunnel Protocol (PPTP).
Raadpleeg de conventies die in technische tips van Cisco worden gebruikt voor meer informatie over documentconventies.
A. U kunt bepalen welke Cisco IOS®-softwarereleases PPTP ondersteunen door het Functie Navigator-gereedschap te gebruiken (alleen geregistreerde klanten). Met dit gereedschap kunt u Cisco IOS-softwarereleases vergelijken, Cisco IOS-software en CatOS-functies vergelijken met releases en erachter komen welke softwarerelease u uw hardware moet ondersteunen.
A. PPTP werd eerst geïntroduceerd in Cisco Secure PIX-firewall versie 5.1. Raadpleeg PIX 6.x: PPTP met RADIUS-verificatievoorbeeld voor meer informatie.
Opmerking: De beëindiging van PPTP op de PIX-firewall wordt niet ondersteund in versie 7.x en later.
A. MPPE vereist Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Het werkt alleen met RADIUS of lokale authenticatie en de RADIUS-server moet de MPPE-Keys attributiewaarde ondersteunen.
In deze lijst zijn een aantal platforms en hun MPPE-compatibiliteit te zien.
Cisco Secure ACS voor UNIX (CSUNIX) - nr
Toegangsregister - nr.
Funk RADIUS - Ja
Cisco Secure ACS voor Windows - Ja
Microsoft Windows 2000 Internet Authentication Server - Ja
A. PPTP werd aanvankelijk ondersteund in Cisco IOS-softwarerelease 12.0(5)XE5 op de Cisco 7100/7200 routers. Het programma werd vervolgens verplaatst naar Cisco IOS algemene platform ondersteuning in Cisco IOS-softwarerelease 12.1(5)T.
A. Deze informatie is gebaseerd op VPN 3000 Series Concentrator-softwarereleases 3.5 en hoger; VPN 3000 Series concentrators, modellen 3005, 3015, 3030, 3060, 3080; en Microsoft besturingssystemen Windows 95 en hoger.
Windows 95 Inbelnetwerken (DUN) 1.2
Microsoft Point-to-Point Encryption (MPPE) wordt niet ondersteund onder DUN 1.2. Installeer Windows 95 DUN 1.3 om verbinding te maken met MPPE. U kunt de Microsoft DUN 1.3-upgrade downloaden van de Microsoft website.
Windows NT 4.0
Windows NT wordt volledig ondersteund voor PPTP-verbindingen naar de VPN-centrator. Service Pack 3 (SP3) of hoger is vereist. Als u SP3 draait, installeert u de PPTP Performance and Security patches. Raadpleeg de website van Microsoft voor informatie over de PPTP-prestaties en security upgrade voor WinNT 4.0 . De enige resolutie voor dit probleem is het opnieuw installeren van het NT 4.0 Server Option Pack zonder het Service Pack daarna toe te voegen.
Opmerking: The 128-bits Service Pack 5 hanteert de MPPE-toetsen niet correct en PPTP kan er niet in slagen om gegevens door te geven. Wanneer dit voorkomt, toont het gebeurtenis logbestand dit bericht.
103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 User [ testuser ] disconnected. Experiencing excessive packet decrypt failure.Raadpleeg de Microsoft artikel MPPE-toetsen niet correct verwerkt voor een 128-bits MS-CHAP-verzoek voor meer informatie.
A. Cisco IOS-softwarereleases 12.1T en latere ondersteuning van PPTP-doorgifte of PPTP via PAT-functie. Raadpleeg het gedeelte "NAT - Ondersteuning voor PPTP in een configuratie voor overload (poortadresomzetting)" in Cisco IOS-softwarerelease 12.1T voor meer informatie. Raadpleeg IP-tunneling - Het configureren van PPTP door PAT bij een Microsoft PPTP-server om PPTP-uitbellen via PAT of PPTP-uitgangen op een Cisco IOS-router te configureren.
PIX-versies 6.3 en hoger ondersteunen PPTP-doorloop of PPTP via PAT met behulp van de PPTP-bestandsfunctie. Deze optie stelt PPTP-verkeer in staat om de PIX te verplaatsen wanneer dit voor PAT is ingesteld. De PIX voert een stateful PPTP-pakketinspectie uit in het proces. Raadpleeg het gedeelte over PPTP-configuratie in Toepassingsinspectie configureren (Fixup) om de PIX-instelling voor PPTP te configureren. De opdracht fixup protocol ppp 1723 vormt PPTP-bevestiging.
A. Open deze havens.
TCP/1723
IP-protocol/47 GRE
Raadpleeg Aansluitingen PPTP-verbindingen via de PIX voor meer informatie.
A. Deze insecten zijn geïdentificeerd:
CSCdt46181 (alleen geregistreerde klanten) - Raadpleeg Cisco IOS PPTP-kwetsbaarheid voor meer informatie.
CSCdz47290 (alleen geregistreerde klanten) - PPTP snelle/processwitching gebroken wanneer Cisco Express Forwarding (CEF) mondiaal ingeschakeld is.
CSCdx86482 (alleen geregistreerde klanten) - PPTP-tunneling is defect.
CSCdt1570 (alleen geregistreerde klanten) - 128-bits Microsoft Point-to-Point Encryption (MPPE) werkt niet aan hardware-geïntegreerde servicesmodule (ISM).
CSCdt6607 (alleen geregistreerde klanten) - PPTP 128-bits MPPE werkt niet met Cisco Secure ACS voor Windows.
CSCdu19654 (alleen geregistreerde klanten) - PPTP faalt.
CSCdv50861 (alleen geregistreerde klanten) - MPPE onderhandelt niet met Windows 2000.
Geregistreerde klanten kunnen bug-details bekijken door de Cisco Bug Toolkit (alleen geregistreerde klanten) te gebruiken voor meer informatie.
A. Dit zijn enkele beperkingen voor PPTP.
PPTP ondersteunt alleen Cisco Express Forwarding (CEF) en processwitching. Snelle switching wordt niet ondersteund.
Cisco IOS-software ondersteunt alleen vrijwillige tunneling als PPTP Network Server (PNS).
Je hebt crypto beelden nodig voor MPPE ondersteuning. MPPE vereist Microsoft Challenge Verificatie Protocol (MS-CHAP)-verificatie en MPPE wordt niet ondersteund met TACACS+.
A. Zoek deze uitwerpselen.
debug van verificatie
debug AAA-autorisatie
straal deken
debug van PPP-onderhandeling
debug van PPP-verificatie
debug van VPN-gebeurtenissen
fouten van VPN debug
VPN l2x-pakje zuiveren
debug van ppp mppe gebeurtenissen
debug van ppp chap
Kijk naar deze belangrijke gebeurtenissen.
SCCRQ = Start-Control-Connection-Request - message code bytes 9 and 10 = 0001 SCCRP = Start-Control-Connection-Reply OCRQ = Outgoing-Call-Request - message code bytes 9 and 10 = 0007 OCRP = Outgoing-Call-Reply
A. Deze fout geeft aan dat de router en de PC niet kunnen onderhandelen over authenticatie. Als u bijvoorbeeld de PC-verificatieprotocollen voor Shiva PAP (SPAP) en Microsoft Challenge Authentication Protocol (MS-CHAP) versie 2 (wanneer de router versie 2 niet kan uitvoeren) instelt en u de router voor CHAP instelt, debug de PPP-onderhandeling opdracht op de router geeft deze uitvoer weer.
04:30:55: Vi1 LCP: Failed to negotiate with peerEen ander voorbeeld is als de router voor VPDN groep 1 ppp is ingesteld en mppe 40 is versleuteld en de PC is ingesteld voor "geen encryptie toegestaan." De PC sluit en produceert geen "Fout 734," en het debug ppp onderhandelingsbevel op de router toont deze uitvoer.
04:51:55: Vi1 LCP: I PROTREJ [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)
A. Deze fout betekent dat de externe computer het vereiste type gegevenscodering niet ondersteunt. Als u bijvoorbeeld de PC voor "alleen versleuteld" instelt en het pptp verwijdert, het automatische commando van de router versleutelt, dan kunnen de PC en de router niet akkoord gaan met de codering. De opdracht debug ppp onderhandeling toont deze uitvoer.
04:41:09: Vi1 LCP: O PROTREJ [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)Een ander voorbeeld betreft het RADIUS-routerprobleem MPPE. Als u de router voor ppp instelt, versleutel de MPE auto-vereiste en de PC voor "encryptie toegestaan met authenticatie op een RADIUS-server die de MPPE-toets niet teruggeeft" dan krijgt u een fout op de PC die staat, "Fout 742: De externe computer ondersteunt het gewenste gegevenscoderingstype niet." De router debug toont een "Call-Clear-Application" (bytes 9 en 10 = 0x000C = 12 = Call-Clear-Application per RFC) zoals hier weergegeven.
00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ
A. Start een batchbestand (batch.bat) om de Microsoft-routing te wijzigen om dit probleem op te lossen. Verwijdert de standaard en installeer de standaardroute (u moet het IP-adres weten dat aan de PPTP-client is toegewezen, zoals 192.168.1.1).
In dit voorbeeld is het netwerk binnen de router 10.13.1.x.
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1 route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1
A. Verschillende Microsoft-gerelateerde problemen die u in overweging moet nemen wanneer u een oplossing voor uw probleem hebt gevonden, worden hier vermeld. Gedetailleerde informatie is beschikbaar bij de Microsoft Kennis Base in de geleverde links.
RAS-verbindingen actief houden na het uitloggen
Windows Remote Access Service (RAS)-verbindingen worden automatisch losgekoppeld wanneer u een RAS-client start. U kunt verbonden blijven door de Registratiesleutel van HoudRasConnections op de RAS-client in te schakelen.
Gebruiker is niet gewaarschuwd bij inloggen met gedeponeerde crediteuren
Als u inlogt op een domein van een op Windows gebaseerd werkstation of een ledenserver en de domeincontroller niet kan worden gevonden, ontvangt u geen foutmelding die dit probleem aangeeft. In plaats daarvan, wordt u met gecachede geloofsbrieven op de lokale computer ingelogd.
Schrijf een LMHOSTS-bestand voor domeinvalidatie en andere problemen met naamresolutie
Als u problemen ondervindt met de naamresolutie op uw TCP/IP-netwerk, moet u misschien wel LAN-bestanden gebruiken om Netgeblokkeerde namen op te lossen. U moet een specifieke procedure volgen om een vertragingsbestand te maken dat in naamresolutie en domeinvalidatie kan worden gebruikt.