IP : Protocole PPTP (Point-to-Point Tunneling Protocol )

PPTP – Forum aux questions

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document aborde des questions fréquemment posées au sujet du protocole PPTP (Point-to-Point Tunnel Protocol).

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Matériel

Q. Comment puis-je déterminer les plates-formes qui prennent en charge PPTP ?

A. Vous pouvez déterminer quelles versions logicielles de Ý de Cisco IOS prennent en charge PPTP à l'aide du navigateur de fonctionnalité (clients enregistrés seulement). L'outil vous permet de comparer les versions du logiciel Cisco IOS, de mettre en correspondance le logiciel Cisco IOS et les fonctionnalités CatOS avec les versions, et de découvrir la version de logiciel dont vous avez besoin pour prendre en charge votre matériel.

Q. Quand PPTP a-t-il d'abord été introduit dans Cisco Secure PIX Firewall ?

A. PPTP a été introduit la première fois dans la version 5.1 de pare-feu Cisco Secure PIX. Consultez PIX 6.x : PPTP avec le pour en savoir plus d'exemple de configuration d'authentification de rayon.

Remarque: L'arrêt PPTP sur la fonctionnalité de pare-feu PIX n'est pas pris en charge dans les versions 7.x et ultérieures.

Q. Existe-t-il des détails sur le chiffrement MPPE (Microsoft Point-to-Point Encryption) que je dois connaître ?

A. Le MPPE exige la Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). Il fonctionne seulement avec RADIUS ou l'authentification locale, et le serveur RADIUS doit prendre en charge la valeur d'attribut MPPE-Keys.

Cette liste montre quelques plates-formes et leur compatibilité MPPE.

  • Cisco Secure ACS pour UNIX (CSUNIX) - Non

  • Access Registrar - Non

  • Funk RADIUS - Oui

  • Cisco Secure ACS pour Windows - Oui

  • Microsoft Windows 2000 Internet Authentication Server - Oui

Q. Quelle version du logiciel Cisco IOS prenait en charge PPTP initialement ?

A. PPTP a été au commencement pris en charge dans le Logiciel Cisco IOS version 12.0(5)XE5 sur Cisco 7100/7200 Routeurs. Ce fut ensuite la prise en charge de la plate-forme générale Cisco IOS dans le logiciel Cisco IOS Version 12.1(5)T.

Q. Quels sont les problèmes de compatibilité connus avec les produits Microsoft PPTP et le concentrateur VPN 3000 ?

A. Ces informations sont basées sur les versions 3.5 et ultérieures du logiciel des concentrateurs VPN de la gamme 3000 ; concentrateurs VPN de la gamme 3000, modèles 3005, 3015, 3020, 3030, 3060, 3080 ; et systèmes d'exploitation Microsoft Windows 95 et ultérieurs.

Q. Est-ce que les routeurs Cisco IOS ou pare-feu PIX prennent en charge la fonctionnalité PPTP direct ou PPTP sur la traduction d'adresses de port (PAT) ?

A. Les versions du logiciel Cisco IOS 12.1T et le support postérieur PPTP traversent ou PPTP au-dessus de caractéristique de TAPOTEMENT. Pour plus d'informations, référez-vous à la section « NAT - Prise en charge de PPTP dans une configuration de surcharge (traduction d'adresses de port) » dans Gamme des versions du logiciel Cisco IOS 12.1T Early Deployment. Référez-vous à Transmission tunnel IP - Configuration de PPTP via PAT sur un serveur Microsoft PPTP pour configurer PPTP sur PAT ou PPTP direct sur un routeur Cisco IOS.

Les versions 6.3 et ultérieures de PIX prennent en charge PPTP direct ou PPTP sur PAT à l'aide de la fonctionnalité de correction PPTP. Cette fonctionnalité permet au trafic PPTP de traverser PIX une fois configuré pour PAT. PIX effectue une inspection des paquets PPTP avec état dans le processus. Référez-vous à la section sur la configuration PPTP dans Configuration de l'inspection d'applications (correction) pour configurer une correction PPTP sur PIX. La commande fixup protocol pptp 1723 configure la correction PPTP.

Dépannez

Q. Quels ports dois-je ouvrir sur un pare-feu afin d'accueillir les tunnels PPTP ?

A. Ouvrez ces ports.

Q. Quels sont les bogues PPTP connus du logiciel Cisco IOS ?

A. Ces bogues ont été identifiées :

Les clients enregistrés peuvent visualiser des détail du bogue à l'aide du pour en savoir plus de boîte à outils de bogue Cisco (clients enregistrés seulement).

Q. Quelles sont les limitations de PPTP ?

A. PPTP présente quelques limitations.

  • PPTP prend seulement en charge CEF (Cisco Express Forwarding) et la commutation de processus. La commutation rapide n'est pas prise en charge.

  • Le logiciel Cisco IOS prend seulement en charge le tunneling volontaire comme serveur PNS (PPTP Network Server).

  • Vous avez besoin d'images chiffrées pour la prise en charge MPPE. MPPE exige l'authentification MS-CHAP (Microsoft Challenge Authentication Protocol) et MPPE n'est pas pris en charge avec TACACS+.

Q. Quels événements de débogage significatifs dois-je rechercher quand je dépanne PPTP sur un routeur ?

A. Recherchez ces derniers met au point.

  • debug aaa authentication

  • debug aaa authorization

  • debug radius

  • debug ppp negotiation

  • debug ppp authentication

  • debug vpdn events

  • debug vpdn errors

  • debug vpdn l2x-packet

  • debug ppp mppe events

  • debug ppp chap

Recherchez ces événements significatifs.

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
   message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

Q. Que signifie le fait que je reçoive le message « Erreur 734 », puis que je sois déconnecté ?

A. Cette erreur indique que le routeur et le PC ne peuvent pas négocier d'authentification. Par exemple, si vous définissez des protocoles d'authentification de PC pour Shiva PAP (SPAP) et MS-CHAP (Microsoft Challenge Authentication Protocol) version 2 (quand le routeur ne peut pas faire la version 2), et que vous définissez le routeur pour CHAP, la commande debug ppp negotiation sur le routeur affiche cette sortie.

04:30:55: Vi1 LCP: Failed to negotiate with peer

Un autre exemple est si le routeur est défini pour vpdn group 1 ppp encrypt mppe 40 required et le PC est défini pour « aucun chiffrement permis ». Le PC ne se connecte pas et produit une « Erreur 734 », et la commande debug ppp negotiation sur le routeur affiche cette sortie.

04:51:55: Vi1 LCP: I PROTREJ 
      [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

Q. Que signifie « Erreur 742 »?

A. Cette erreur signifie que l'ordinateur distant ne prend pas en charge le type de chiffrement des données requis. Par exemple, si vous définissez le PC comme étant « chiffré seulement » et supprimez la commande pptp encrypt mppe auto du routeur, le PC et le routeur ne peuvent pas être d'accord sur le chiffrement. La commande debug ppp negotiation affiche cette sortie.

04:41:09: Vi1 LCP: O PROTREJ 
      [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

Un autre exemple implique le problème MPPE RADIUS du routeur. Si vous définissez le routeur pour ppp encrypt mppe auto required et le PC pour « chiffrement autorisé avec authentification sur un serveur RADIUS ne retournant pas de clé MPPE », une erreur s'affiche sur le PC qui indique « Error 742: The remote computer does not support the required data encryption type ». Le débogage du routeur affiche une « Call-Clear-Request » (octets 9 et 10 = 0x000C = 12 = Call-Clear-Request per RFC) comme illustré ici.

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

Q. Je crois que j'ai un problème de transmission tunnel partagée. Que dois-je faire lorsqu'un tunnel PPTP apparaît sur un PC, le routeur PPTP a une mesure plus élevée que la valeur par défaut précédente et je perds la connectivité ?

A. Exécutez un fichier batch (batch.bat) pour modifier Microsoft conduisant pour résoudre ce problème. Supprimez la valeur par défaut et réinstallez la route par défaut (vous devez connaître l'adresse IP affectée au client PPTP, telle que 192.168.1.1).

Dans cet exemple, le réseau à l'intérieur du routeur est 10.13.1.x.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

Q. Quels sont les problèmes à prendre en compte quand je dépanne PPTP ?

A. Plusieurs problèmes liés à Microsoft à prendre en compte quand vous dépannez PPTP sont mentionnés ici. Des informations détaillées sont disponibles dans la Base de connaissances Microsoft avec les liens fournis.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 18761