Cisco VPN 3000 Concentrator ondersteunt de Point-to-Point Tunnel Protocol (PPTP)-tunnelmethode voor native Windows-clients. De concentrator ondersteunt 40-bits en 128-bits codering voor een beveiligde betrouwbare verbinding. Dit document beschrijft hoe u PPTP op een VPN 3000 Concentrator met Cisco Secure ACS voor Windows voor RADIUS-verificatie kunt configureren.
Raadpleeg de Cisco Secure PIX-firewall configureren om PPTP te gebruiken om PPTP-verbindingen naar de PIX te configureren.
Raadpleeg Cisco Secure ACS voor Windows-routerverificatie configureren om een pc-verbinding met de router in te stellen; Dit biedt gebruikersverificatie naar het Cisco Secure Access Control System (ACS) 3.2 voor Windows-server voordat u de gebruiker in het netwerk toestaat.
Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Dit document gaat ervan uit dat de lokale PPTP-verificatie werkt voordat Cisco Secure ACS voor Windows RADIUS-verificatie wordt toegevoegd. Zie Hoe u VPN 3000 Concentrator PPTP met Lokale verificatie configureren voor meer informatie over lokale PPTP-verificatie. Raadpleeg voor een compleet overzicht van vereisten en beperkingen wanneer wordt PPTP-encryptie ondersteund op een Cisco VPN 3000 Concentrator?
De informatie in dit document is gebaseerd op de onderstaande software- en hardwareversies.
Cisco Secure ACS voor Windows versies 2.5 en hoger
VPN 3000 Concentrator versies 2.5.2.C en hoger (Deze configuratie is geverifieerd met versie 4.0.x.)
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.
Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.
Volg deze stappen om de VPN-Concentrator te configureren om Cisco Secure ACS voor Windows te gebruiken.
Ga in de VPN 3000 Concentrator naar Configuration > System > Server > Verificatieservers en voeg de Cisco Secure ACS voor Windows server en de toets ("cisco123" in dit voorbeeld) toe.
In Cisco Secure ACS voor Windows, voegt u de VPN-centrator toe aan de ACS-servernetwerkconfiguratie en identificeert u het woordenboektype.
In Cisco Secure ACS voor Windows, ga naar Interface Configuration > RADIUS (Microsoft) en controleer de Microsoft Point-to-Point Encryption (MPPE)-eigenschappen, zodat de eigenschappen in de groepsinterface verschijnen.
Voeg een gebruiker toe in Cisco Secure ACS voor Windows. In de groep van de gebruiker, voeg de MPPE (Microsoft RADIUS) eigenschappen toe, voor het geval u encryptie op een later tijdstip nodig hebt.
Ga in de VPN 3000 Concentrator naar Configuration > System > Server > Verificatieservers. Selecteer een verificatieserver uit de lijst en selecteer vervolgens Test. Verificatie vanuit VPN-centrator naar Cisco Secure ACS voor Windows-server door een gebruikersnaam en wachtwoord in te voeren.
Bij een goede authenticatie zou de VPN Concentrator een "Verificatie succesvol" bericht moeten laten zien. De mislukkingen in Cisco Secure ACS voor Windows zijn inlogd in Rapporten en Activiteit > mislukte Pogingen. Standaard wordt de installatie van deze rapporten op de harde schijf opgeslagen in C:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts.
Aangezien u nu verificatie van de verificatie van de PC naar de VPN Concentrator hebt uitgevoerd en u van de concentrator naar de Cisco Secure ACS voor Windows server hebt geverifieerd, kunt u de VPN Concentrator opnieuw configureren om PPTP-gebruikers naar Cisco Secure ACS voor Windows RADIUS te verzenden door de Cisco Secure ACS voor Windows server naar de top van de serverlijst te verplaatsen. Ga om dit op de VPN Concentrator te doen naar Configuration > System > Server > Verificatieservers.
Ga naar Configuration > User Management > Base Group en selecteer het PPTP/L2TP-tabblad. Zorg ervoor dat de opties voor PAP en MSCHAPv1 in de basisgroep van VPN Concentrator zijn ingeschakeld.
Selecteer het tabblad General en controleer of PPTP is toegestaan in het gedeelte Tunneling Protocols.
Test PPTP-verificatie met de gebruiker in Cisco Secure ACS voor Windows RADIUS-server. Als dit niet werkt, raadpleegt u het gedeelte Debugging.
Als Cisco Secure ACS voor Windows RADIUS PPTP-verificatie zonder encryptie werkt, kunt u MPPE aan de VPN 3000 Concentrator toevoegen.
Ga in de VPN Concentrator naar Configuration > User Management > Base Group.
Controleer onder het gedeelte voor PPTP-encryptie de opties voor verplicht, 40-bits en 128-bits. Aangezien niet alle PC's zowel 40-bits als 128-bits codering ondersteunen, controleer beide opties om onderhandeling mogelijk te maken.
Controleer onder het kopje voor PPTP-verificatieprotocollen de optie voor MSCHAPv1. (U hebt de Cisco Secure ACS voor Windows 2.5-gebruikerseigenschappen voor codering in een eerdere stap al ingesteld.)
Opmerking: De PPTP-client moet worden herkend voor optimale of vereiste gegevenscodering en MSCHAPv1 (indien een optie).
Nadat u verificatie hebt ingesteld, kunt u accounting aan de VPN-centrator toevoegen. Ga naar Configuration > System > Server > Accounting Server en voeg Cisco Secure ACS toe voor Windows-server.
In Cisco Secure ACS voor Windows verschijnen de accounting records als volgt.
Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,Acct-Session-Id, Acct-Session-Time,Service-Type,Framed-Protocol,Acct-Input-Octets,Acct-Output-Octets, Acct-Input-Packets,Acct-Output-Packets,Framed-IP-Address,NAS-Port,NAS-IP-Address 03/18/2000,08:16:20,CSNTUSER,Default Group,,Start,8BD00003,,Framed, PPP,,,,,1.2.3.4,1163,10.2.2.1 03/18/2000,08:16:50,CSNTUSER,Default Group,,Stop,8BD00003,30,Framed, PPP,3204,24,23,1,1.2.3.4,1163,10.2.2.1
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Als de verbindingen niet werken, kunt u PPTP- en AUTH-eventklassen aan de VPN-centrator toevoegen door naar Configuration > System > Events > Classes > Wijzigen te gaan. U kunt ook klassen PPTPDBG, PPTPDECODE, AUTHDBG en AUTHDECODE-gebeurtenissen toevoegen, maar deze opties kunnen te veel informatie bieden.
U kunt het logbestand van de gebeurtenis herstellen door naar Monitoring > Event Log te gaan.
Goede deposito's op de VPN-centrator lijken op het volgende.
1 12/06/2000 09:26:16.390 SEV=4 PPTP/47 RPT=20 10.44.17.179 Tunnel to peer 161.44.17.179 established 2 12/06/2000 09:26:16.390 SEV=4 PPTP/42 RPT=20 10.44.17.179 Session started on tunnel 161.44.17.179 3 12/06/2000 09:26:19.400 SEV=7 AUTH/12 RPT=22 Authentication session opened: handle = 22 4 12/06/2000 09:26:19.510 SEV=6 AUTH/4 RPT=17 10.44.17.179 Authentication successful: handle = 22, server = 10.2.2.5, user = CSNTUSER 5 12/06/2000 09:26:19.510 SEV=5 PPP/8 RPT=17 10.44.17.179 User [ CSNTUSER ] Authenticated successfully with MSCHAP-V1 6 12/06/2000 09:26:19.510 SEV=7 AUTH/13 RPT=22 Authentication session closed: handle = 22 7 12/06/2000 09:26:22.560 SEV=4 AUTH/21 RPT=30 User CSNTUSER connected
U kunt mogelijke fouten ondervinden zoals hieronder wordt getoond.
VPN 3000 Concentrator debug-uitvoer
6 12/06/2000 09:33:03.910 SEV=4 PPTP/47 RPT=21 10.44.17.179 Tunnel to peer 10.44.17.179 established 7 12/06/2000 09:33:03.920 SEV=4 PPTP/42 RPT=21 10.44.17.179 Session started on tunnel 10.44.17.179 8 12/06/2000 09:33:06.930 SEV=7 AUTH/12 RPT=23 Authentication session opened: handle = 23 9 12/06/2000 09:33:07.050 SEV=3 AUTH/5 RPT=4 10.44.17.179 Authentication rejected: Reason = Unspecified handle = 23, server = 10.2.2.5, user = baduser 11 12/06/2000 09:33:07.050 SEV=5 PPP/9 RPT=4 10.44.17.179 User [ baduser ] disconnected.. failed authentication ( MSCHAP-V1 ) 12 12/06/2000 09:33:07.050 SEV=7 AUTH/13 RPT=23 Authentication session closed: handle = 23
Cisco Secure ACS voor Windows-loguitvoer
03/18/2000,08:02:47,Authen failed, baduser,,,CS user unknown,,,1155,10.2.2.1
Het bericht dat de gebruiker ziet (vanuit Windows 98)
Error 691: The computer you have dialed in to has denied access because the username and/or password is invalid on the domain.
"MPPE-encryptie vereist" is geselecteerd op de concentrator, maar Cisco Secure ACS voor Windows-server is niet geconfigureerd voor MS-CHAP-MPPE-toetsen en MS-CHAP-MPPE-typen
VPN 3000 Concentrator debug-uitvoer
Als AUTHDECODE (1-13 Severity) en PPTP debug (1-9 Severity) zijn ingeschakeld, toont het logbestand aan dat Cisco Secure ACS voor Windows-server geen leverancierspecifieke eigenschap 26 (0x1A) in de access-accepteren vanuit de server (gedeeltelijk logbestand) stuurt.
2221 12/08/2000 10:01:52.360 SEV=13 AUTHDECODE/0 RPT=545 0000: 024E002C 80AE75F6 6C365664 373D33FE .N.,..u.l6Vd7=3. 0010: 6DF74333 501277B2 129CBC66 85FFB40C m.C3P.w....f.... 0020: 16D42FC4 BD020806 FFFFFFFF ../......... 2028 12/08/2000 10:00:29.570 SEV=5 PPP/13 RPT=12 10.44.17.179 User [ CSNTUSER ] disconnected. Data encrypt required. Auth server or auth protocol will not support encrypt.
Cisco Secure ACS voor Windows-loguitvoer toont geen tekortkomingen.
Het bericht dat de gebruiker ziet
Error 691: The computer you have dialed in to has denied access because the username and/or password is invalid on the domain.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
15-Jan-2008 |
Eerste vrijgave |