De VPN 3000 Concentrator PPTP configureren met Cisco Secure ACS voor Windows RADIUS-verificatie

Downloadopties

  • PDF     (287.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (353.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (708.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 januari 2008
Document-id:13829

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Cisco VPN 3000 Concentrator ondersteunt de Point-to-Point Tunnel Protocol (PPTP)-tunnelmethode voor native Windows-clients. De concentrator ondersteunt 40-bits en 128-bits codering voor een beveiligde betrouwbare verbinding. Dit document beschrijft hoe u PPTP op een VPN 3000 Concentrator met Cisco Secure ACS voor Windows voor RADIUS-verificatie kunt configureren.

Raadpleeg de Cisco Secure PIX-firewall configureren om PPTP te gebruiken om PPTP-verbindingen naar de PIX te configureren.

Raadpleeg Cisco Secure ACS voor Windows-routerverificatie configureren om een pc-verbinding met de router in te stellen; Dit biedt gebruikersverificatie naar het Cisco Secure Access Control System (ACS) 3.2 voor Windows-server voordat u de gebruiker in het netwerk toestaat.

Voordat u begint

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Voorwaarden

Dit document gaat ervan uit dat de lokale PPTP-verificatie werkt voordat Cisco Secure ACS voor Windows RADIUS-verificatie wordt toegevoegd. Zie Hoe u VPN 3000 Concentrator PPTP met Lokale verificatie configureren voor meer informatie over lokale PPTP-verificatie. Raadpleeg voor een compleet overzicht van vereisten en beperkingen wanneer wordt PPTP-encryptie ondersteund op een Cisco VPN 3000 Concentrator?

Gebruikte componenten

De informatie in dit document is gebaseerd op de onderstaande software- en hardwareversies.

  • Cisco Secure ACS voor Windows versies 2.5 en hoger

  • VPN 3000 Concentrator versies 2.5.2.C en hoger (Deze configuratie is geverifieerd met versie 4.0.x.)

De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.

Netwerkdiagram

Dit document gebruikt de netwerkinstellingen die in het onderstaande schema zijn weergegeven.

altigacsnt-diag-new-1.gif

De VPN-concentratie configureren 3000

Cisco Secure ACS toevoegen en configureren voor Windows

Volg deze stappen om de VPN-Concentrator te configureren om Cisco Secure ACS voor Windows te gebruiken.

  1. Ga in de VPN 3000 Concentrator naar Configuration > System > Server > Verificatieservers en voeg de Cisco Secure ACS voor Windows server en de toets ("cisco123" in dit voorbeeld) toe.

    altigacsnt-01-new.gif

  2. In Cisco Secure ACS voor Windows, voegt u de VPN-centrator toe aan de ACS-servernetwerkconfiguratie en identificeert u het woordenboektype.

    altigacsnt-02-new.gif

  3. In Cisco Secure ACS voor Windows, ga naar Interface Configuration > RADIUS (Microsoft) en controleer de Microsoft Point-to-Point Encryption (MPPE)-eigenschappen, zodat de eigenschappen in de groepsinterface verschijnen.

    altigacsnt-03.gif

  4. Voeg een gebruiker toe in Cisco Secure ACS voor Windows. In de groep van de gebruiker, voeg de MPPE (Microsoft RADIUS) eigenschappen toe, voor het geval u encryptie op een later tijdstip nodig hebt.

    altigacsnt-04.gif

  5. Ga in de VPN 3000 Concentrator naar Configuration > System > Server > Verificatieservers. Selecteer een verificatieserver uit de lijst en selecteer vervolgens Test. Verificatie vanuit VPN-centrator naar Cisco Secure ACS voor Windows-server door een gebruikersnaam en wachtwoord in te voeren.

    Bij een goede authenticatie zou de VPN Concentrator een "Verificatie succesvol" bericht moeten laten zien. De mislukkingen in Cisco Secure ACS voor Windows zijn inlogd in Rapporten en Activiteit > mislukte Pogingen. Standaard wordt de installatie van deze rapporten op de harde schijf opgeslagen in C:\Program Files\CiscoSecure ACS v2.5\Logs\Failed Attempts.

    altigacsnt-05.gif

  6. Aangezien u nu verificatie van de verificatie van de PC naar de VPN Concentrator hebt uitgevoerd en u van de concentrator naar de Cisco Secure ACS voor Windows server hebt geverifieerd, kunt u de VPN Concentrator opnieuw configureren om PPTP-gebruikers naar Cisco Secure ACS voor Windows RADIUS te verzenden door de Cisco Secure ACS voor Windows server naar de top van de serverlijst te verplaatsen. Ga om dit op de VPN Concentrator te doen naar Configuration > System > Server > Verificatieservers.

    altigacsnt-06-new.gif

  7. Ga naar Configuration > User Management > Base Group en selecteer het PPTP/L2TP-tabblad. Zorg ervoor dat de opties voor PAP en MSCHAPv1 in de basisgroep van VPN Concentrator zijn ingeschakeld.

    altigacsnt-07.gif

  8. Selecteer het tabblad General en controleer of PPTP is toegestaan in het gedeelte Tunneling Protocols.

    altigacsnt-08.gif

  9. Test PPTP-verificatie met de gebruiker in Cisco Secure ACS voor Windows RADIUS-server. Als dit niet werkt, raadpleegt u het gedeelte Debugging.

MPPE toevoegen (encryptie)

Als Cisco Secure ACS voor Windows RADIUS PPTP-verificatie zonder encryptie werkt, kunt u MPPE aan de VPN 3000 Concentrator toevoegen.

  1. Ga in de VPN Concentrator naar Configuration > User Management > Base Group.

  2. Controleer onder het gedeelte voor PPTP-encryptie de opties voor verplicht, 40-bits en 128-bits. Aangezien niet alle PC's zowel 40-bits als 128-bits codering ondersteunen, controleer beide opties om onderhandeling mogelijk te maken.

  3. Controleer onder het kopje voor PPTP-verificatieprotocollen de optie voor MSCHAPv1. (U hebt de Cisco Secure ACS voor Windows 2.5-gebruikerseigenschappen voor codering in een eerdere stap al ingesteld.)

    altigacsnt-09.gif

    Opmerking: De PPTP-client moet worden herkend voor optimale of vereiste gegevenscodering en MSCHAPv1 (indien een optie).

Boekhouding toevoegen

Nadat u verificatie hebt ingesteld, kunt u accounting aan de VPN-centrator toevoegen. Ga naar Configuration > System > Server > Accounting Server en voeg Cisco Secure ACS toe voor Windows-server.

In Cisco Secure ACS voor Windows verschijnen de accounting records als volgt.

Date,Time,User-Name,Group-Name,Calling-Station-Id,Acct-Status-Type,Acct-Session-Id,
   Acct-Session-Time,Service-Type,Framed-Protocol,Acct-Input-Octets,Acct-Output-Octets,
   Acct-Input-Packets,Acct-Output-Packets,Framed-IP-Address,NAS-Port,NAS-IP-Address
03/18/2000,08:16:20,CSNTUSER,Default Group,,Start,8BD00003,,Framed,
   PPP,,,,,1.2.3.4,1163,10.2.2.1
03/18/2000,08:16:50,CSNTUSER,Default Group,,Stop,8BD00003,30,Framed,
   PPP,3204,24,23,1,1.2.3.4,1163,10.2.2.1

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Debuggen inschakelen

Als de verbindingen niet werken, kunt u PPTP- en AUTH-eventklassen aan de VPN-centrator toevoegen door naar Configuration > System > Events > Classes > Wijzigen te gaan. U kunt ook klassen PPTPDBG, PPTPDECODE, AUTHDBG en AUTHDECODE-gebeurtenissen toevoegen, maar deze opties kunnen te veel informatie bieden.

altigacsnt-10.gif

U kunt het logbestand van de gebeurtenis herstellen door naar Monitoring > Event Log te gaan.

altigacsnt-11-new.gif

Debugs - goede verificatie

Goede deposito's op de VPN-centrator lijken op het volgende.

1 12/06/2000 09:26:16.390 SEV=4 PPTP/47 RPT=20 10.44.17.179
Tunnel to peer 161.44.17.179 established
2 12/06/2000 09:26:16.390 SEV=4 PPTP/42 RPT=20 10.44.17.179
Session started on tunnel 161.44.17.179
3 12/06/2000 09:26:19.400 SEV=7 AUTH/12 RPT=22
Authentication session opened: handle = 22
4 12/06/2000 09:26:19.510 SEV=6 AUTH/4 RPT=17 10.44.17.179
Authentication successful: handle = 22, server = 10.2.2.5,
user = CSNTUSER
5 12/06/2000 09:26:19.510 SEV=5 PPP/8 RPT=17 10.44.17.179
User [ CSNTUSER ]
Authenticated successfully with MSCHAP-V1
6 12/06/2000 09:26:19.510 SEV=7 AUTH/13 RPT=22
Authentication session closed: handle = 22
7 12/06/2000 09:26:22.560 SEV=4 AUTH/21 RPT=30
User CSNTUSER connected

Mogelijke fouten

U kunt mogelijke fouten ondervinden zoals hieronder wordt getoond.

Slechte gebruikersnaam of wachtwoord op Cisco Secure ACS voor Windows RADIUS-server

  • VPN 3000 Concentrator debug-uitvoer

    6 12/06/2000 09:33:03.910 SEV=4 PPTP/47 RPT=21 10.44.17.179
Tunnel to peer 10.44.17.179 established

7 12/06/2000 09:33:03.920 SEV=4 PPTP/42 RPT=21 10.44.17.179
Session started on tunnel 10.44.17.179

8 12/06/2000 09:33:06.930 SEV=7 AUTH/12 RPT=23 
Authentication session opened: handle = 23

9 12/06/2000 09:33:07.050 SEV=3 AUTH/5 RPT=4 10.44.17.179
Authentication rejected: Reason = Unspecified
handle = 23, server = 10.2.2.5, user = baduser

11 12/06/2000 09:33:07.050 SEV=5 PPP/9 RPT=4 10.44.17.179
User [ baduser ]
disconnected.. failed authentication ( MSCHAP-V1 )

12 12/06/2000 09:33:07.050 SEV=7 AUTH/13 RPT=23
Authentication session closed: handle = 23

  • Cisco Secure ACS voor Windows-loguitvoer

    03/18/2000,08:02:47,Authen failed, baduser,,,CS user 
unknown,,,1155,10.2.2.1

  • Het bericht dat de gebruiker ziet (vanuit Windows 98)

    Error 691: The computer you have dialed in to has denied access because 
the username and/or password is invalid on the domain.

"MPPE-encryptie vereist" is geselecteerd op de concentrator, maar Cisco Secure ACS voor Windows-server is niet geconfigureerd voor MS-CHAP-MPPE-toetsen en MS-CHAP-MPPE-typen

  • VPN 3000 Concentrator debug-uitvoer

    Als AUTHDECODE (1-13 Severity) en PPTP debug (1-9 Severity) zijn ingeschakeld, toont het logbestand aan dat Cisco Secure ACS voor Windows-server geen leverancierspecifieke eigenschap 26 (0x1A) in de access-accepteren vanuit de server (gedeeltelijk logbestand) stuurt.

    2221 12/08/2000 10:01:52.360 SEV=13 AUTHDECODE/0 RPT=545 
0000: 024E002C 80AE75F6 6C365664 373D33FE     .N.,..u.l6Vd7=3.
0010: 6DF74333 501277B2 129CBC66 85FFB40C     m.C3P.w....f....
0020: 16D42FC4 BD020806 FFFFFFFF                 ../.........

2028 12/08/2000 10:00:29.570 SEV=5 PPP/13 RPT=12 10.44.17.179 
User [ CSNTUSER ] disconnected. Data encrypt required. Auth server 
or auth protocol will not support encrypt.

  • Cisco Secure ACS voor Windows-loguitvoer toont geen tekortkomingen.

  • Het bericht dat de gebruiker ziet

    Error 691: The computer you have dialed in to has denied access because 
the username and/or password is invalid on the domain.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
15-Jan-2008
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco