PPTP vaak gestelde vragen

Inleiding

Dit document behandelt vaak gestelde vragen over Point-to-Point Tunnel Protocol (PPTP).

Raadpleeg de conventies die in technische tips van Cisco worden gebruikt voor meer informatie over documentconventies.

Hardware

Vraag. Hoe kan ik bepalen welke platforms PPTP ondersteunen?

A. U kunt bepalen welke Cisco ^IOS®-softwarereleases PPTP ondersteunen door het Functie Navigator-gereedschap te gebruiken (alleen geregistreerde klanten). Met dit gereedschap kunt u Cisco IOS-softwarereleases vergelijken, Cisco IOS-software en CatOS-functies vergelijken met releases en erachter komen welke softwarerelease u uw hardware moet ondersteunen.

Q. Wanneer werd PPTP voor het eerst geïntroduceerd in de Cisco Secure PIX-firewall?

A. PPTP werd eerst geïntroduceerd in Cisco Secure PIX-firewall versie 5.1. Raadpleeg PIX 6.x: PPTP met RADIUS-verificatievoorbeeld voor meer informatie.

Opmerking: De beëindiging van PPTP op de PIX-firewall wordt niet ondersteund in versie 7.x en later.

Q. Zijn er details over Microsoft Point-to-Point Encryption (MPPE) waar ik me van bewust moet zijn?

A. MPPE vereist Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Het werkt alleen met RADIUS of lokale authenticatie en de RADIUS-server moet de MPPE-Keys attributiewaarde ondersteunen.

In deze lijst zijn een aantal platforms en hun MPPE-compatibiliteit te zien.

• Cisco Secure ACS voor UNIX (CSUNIX) - nr

• Toegangsregister - nr.

• Funk RADIUS - Ja

• Cisco Secure ACS voor Windows - Ja

• Microsoft Windows 2000 Internet Authentication Server - Ja

Q. Welke versie van Cisco IOS-software ondersteunde PPTP aanvankelijk?

A. PPTP werd aanvankelijk ondersteund in Cisco IOS-softwarerelease 12.0(5)XE5 op de Cisco 7100/7200 routers. Het programma werd vervolgens verplaatst naar Cisco IOS algemene platform ondersteuning in Cisco IOS-softwarerelease 12.1(5)T.

Q. Wat zijn een aantal bekende compatibiliteitsproblemen met de Microsoft PPTP-producten en de VPN 3000-concentratie?

A. Deze informatie is gebaseerd op VPN 3000 Series Concentrator-softwarereleases 3.5 en hoger; VPN 3000 Series concentrators, modellen 3005, 3015, 3030, 3060, 3080; en Microsoft besturingssystemen Windows 95 en hoger.

• Windows 95 Inbelnetwerken (DUN) 1.2

  Microsoft Point-to-Point Encryption (MPPE) wordt niet ondersteund onder DUN 1.2. Installeer Windows 95 DUN 1.3 om verbinding te maken met MPPE. U kunt de Microsoft DUN 1.3-upgrade downloaden van de Microsoft website.

• Windows NT 4.0

  Windows NT wordt volledig ondersteund voor PPTP-verbindingen naar de VPN-centrator. Service Pack 3 (SP3) of hoger is vereist. Als u SP3 draait, installeert u de PPTP Performance and Security patches. Raadpleeg de website van Microsoft voor informatie over de PPTP-prestaties en security upgrade voor WinNT 4.0 . De enige resolutie voor dit probleem is het opnieuw installeren van het NT 4.0 Server Option Pack zonder het Service Pack daarna toe te voegen.

  Opmerking: The 128-bits Service Pack 5 hanteert de MPPE-toetsen niet correct en PPTP kan er niet in slagen om gegevens door te geven. Wanneer dit voorkomt, toont het gebeurtenis logbestand dit bericht.

  103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
  User [ testuser ] 
  disconnected. Experiencing excessive packet decrypt failure.

  Raadpleeg de Microsoft artikel MPPE-toetsen niet correct verwerkt voor een 128-bits MS-CHAP-verzoek voor meer informatie.

Q. Ondersteuning van Cisco IOS-routers of PIX-firewalls voor PPTP-doorloop of PPTP-doorgifte via Port Address Translation (PAT)?

A. Cisco IOS-softwarereleases 12.1T en latere ondersteuning van PPTP-doorgifte of PPTP via PAT-functie. Raadpleeg het gedeelte "NAT - Ondersteuning voor PPTP in een configuratie voor overload (poortadresomzetting)" in Cisco IOS-softwarerelease 12.1T voor meer informatie. Raadpleeg IP-tunneling - Het configureren van PPTP door PAT bij een Microsoft PPTP-server om PPTP-uitbellen via PAT of PPTP-uitgangen op een Cisco IOS-router te configureren.

PIX-versies 6.3 en hoger ondersteunen PPTP-doorloop of PPTP via PAT met behulp van de PPTP-bestandsfunctie. Deze optie stelt PPTP-verkeer in staat om de PIX te verplaatsen wanneer dit voor PAT is ingesteld. De PIX voert een stateful PPTP-pakketinspectie uit in het proces. Raadpleeg het gedeelte over PPTP-configuratie in Toepassingsinspectie configureren (Fixup) om de PIX-instelling voor PPTP te configureren. De opdracht fixup protocol ppp 1723 vormt PPTP-bevestiging.

Problemen oplossen

Welke poorten zou ik op een firewall moeten openen om PPTP-tunnels te ontvangen?

A. Open deze havens.

• TCP/1723

• IP-protocol/47 GRE

  Raadpleeg Aansluitingen PPTP-verbindingen via de PIX voor meer informatie.

Q. Wat zijn de bekende insecten van de Software van Cisco IOS PPTP?

A. Deze insecten zijn geïdentificeerd:

• CSCdt46181 (alleen geregistreerde klanten) - Raadpleeg Cisco IOS PPTP-kwetsbaarheid voor meer informatie.

• CSCdz47290 (alleen geregistreerde klanten) - PPTP snelle/processwitching gebroken wanneer Cisco Express Forwarding (CEF) mondiaal ingeschakeld is.

• CSCdx86482 (alleen geregistreerde klanten) - PPTP-tunneling is defect.

• CSCdt1570 (alleen geregistreerde klanten) - 128-bits Microsoft Point-to-Point Encryption (MPPE) werkt niet aan hardware-geïntegreerde servicesmodule (ISM).

• CSCdt6607 (alleen geregistreerde klanten) - PPTP 128-bits MPPE werkt niet met Cisco Secure ACS voor Windows.

• CSCdu19654 (alleen geregistreerde klanten) - PPTP faalt.

• CSCdv50861 (alleen geregistreerde klanten) - MPPE onderhandelt niet met Windows 2000.

Geregistreerde klanten kunnen bug-details bekijken door de Cisco Bug Toolkit (alleen geregistreerde klanten) te gebruiken voor meer informatie.

Wat zijn enkele beperkingen voor PPTP?

A. Dit zijn enkele beperkingen voor PPTP.

• PPTP ondersteunt alleen Cisco Express Forwarding (CEF) en processwitching. Snelle switching wordt niet ondersteund.

• Cisco IOS-software ondersteunt alleen vrijwillige tunneling als PPTP Network Server (PNS).

• Je hebt crypto beelden nodig voor MPPE ondersteuning. MPPE vereist Microsoft Challenge Verificatie Protocol (MS-CHAP)-verificatie en MPPE wordt niet ondersteund met TACACS+.

Q. Welke belangrijke het debuggen gebeurtenissen zou ik moeten zoeken wanneer ik het oplossen van PPTP op een router?

A. Zoek deze uitwerpselen.

• debug van verificatie

• debug AAA-autorisatie

• straal deken

• debug van PPP-onderhandeling

• debug van PPP-verificatie

• debug van VPN-gebeurtenissen

• fouten van VPN debug

• VPN l2x-pakje zuiveren

• debug van ppp mppe gebeurtenissen

• debug van ppp chap

Kijk naar deze belangrijke gebeurtenissen.

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

Q. Wat betekent het als ik het bericht "Fout 734" ontvang en dan los word?

A. Deze fout geeft aan dat de router en de PC niet kunnen onderhandelen over authenticatie. Als u bijvoorbeeld de PC-verificatieprotocollen voor Shiva PAP (SPAP) en Microsoft Challenge Authentication Protocol (MS-CHAP) versie 2 (wanneer de router versie 2 niet kan uitvoeren) instelt en u de router voor CHAP instelt, debug de PPP-onderhandeling opdracht op de router geeft deze uitvoer weer.

04:30:55: Vi1 LCP: Failed to negotiate with peer

Een ander voorbeeld is als de router voor VPDN groep 1 ppp is ingesteld en mppe 40 is versleuteld en de PC is ingesteld voor "geen encryptie toegestaan." De PC sluit en produceert geen "Fout 734," en het debug ppp onderhandelingsbevel op de router toont deze uitvoer.

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

Wat betekent "fout 742"?

A. Deze fout betekent dat de externe computer het vereiste type gegevenscodering niet ondersteunt. Als u bijvoorbeeld de PC voor "alleen versleuteld" instelt en het pptp verwijdert, het automatische commando van de router versleutelt, dan kunnen de PC en de router niet akkoord gaan met de codering. De opdracht debug ppp onderhandeling toont deze uitvoer.

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

Een ander voorbeeld betreft het RADIUS-routerprobleem MPPE. Als u de router voor ppp instelt, versleutel de MPE auto-vereiste en de PC voor "encryptie toegestaan met authenticatie op een RADIUS-server die de MPPE-toets niet teruggeeft" dan krijgt u een fout op de PC die staat, "Fout 742: De externe computer ondersteunt het gewenste gegevenscoderingstype niet." De router debug toont een "Call-Clear-Application" (bytes 9 en 10 = 0x000C = 12 = Call-Clear-Application per RFC) zoals hier weergegeven.

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

Ik denk dat ik een kwestie van 'split tunneling' heb. Wat zou ik moeten doen wanneer een PPTP-tunnel op een PC komt, de PPTP-router heeft een hogere metrische waarde dan het vorige standaard, en ik verlies connectiviteit?

A. Start een batchbestand (batch.bat) om de Microsoft-routing te wijzigen om dit probleem op te lossen. Verwijdert de standaard en installeer de standaardroute (u moet het IP-adres weten dat aan de PPTP-client is toegewezen, zoals 192.168.1.1).

In dit voorbeeld is het netwerk binnen de router 10.13.1.x.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

Q. Wat zijn een paar kwesties om in overweging te nemen wanneer ik een PPTP-oplossing problemen?

A. Verschillende Microsoft-gerelateerde problemen die u in overweging moet nemen wanneer u een oplossing voor uw probleem hebt gevonden, worden hier vermeld. Gedetailleerde informatie is beschikbaar bij de Microsoft Kennis Base in de geleverde links.

• RAS-verbindingen actief houden na het uitloggen

  Windows Remote Access Service (RAS)-verbindingen worden automatisch losgekoppeld wanneer u een RAS-client start. U kunt verbonden blijven door de Registratiesleutel van HoudRasConnections op de RAS-client in te schakelen.

• Gebruiker is niet gewaarschuwd bij inloggen met gedeponeerde crediteuren

  Als u inlogt op een domein van een op Windows gebaseerd werkstation of een ledenserver en de domeincontroller niet kan worden gevonden, ontvangt u geen foutmelding die dit probleem aangeeft. In plaats daarvan, wordt u met gecachede geloofsbrieven op de lokale computer ingelogd.

• Schrijf een LMHOSTS-bestand voor domeinvalidatie en andere problemen met naamresolutie

  Als u problemen ondervindt met de naamresolutie op uw TCP/IP-netwerk, moet u misschien wel LAN-bestanden gebruiken om Netgeblokkeerde namen op te lossen. U moet een specifieke procedure volgen om een vertragingsbestand te maken dat in naamresolutie en domeinvalidatie kan worden gebruikt.

Gerelateerde informatie

• PPTP-ondersteuningspagina
• PIX-ondersteuningspagina
• Ondersteuning van VPN 3000 Series Concentrators
• RFC 2637: Point-to-Point Tunneling Protocol (PPTP)
• Technische ondersteuning en documentatie – Cisco Systems