IP : IP トンネリング

PPTP に関する FAQ

2004 年 9 月 7 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 3 月 24 日) | フィードバック

質問


概要

このドキュメントでは、Point-to-Point Tunnel Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)に関する FAQ について解説します。

ドキュメント表記の詳細については、『シスコテクニカル ティップスの表記法』を参照してください。

ハードウェア

Q. どのようにすれば PPTP をサポートするプラットフォームを識別できますか。

A. PPTP がサポートされている Cisco IOS(R) ソフトウェア リリースの識別には、Feature Navigator tool登録ユーザ専用)を使用します。このツールにより、Cisco IOS ソフトウェア リリースを比較し、Cisco IOS ソフトウェアと CatOS の機能とリリースを照合して、ご使用のハードウェアのサポートに必要なソフトウェア リリースを見つけられます。

Q. Cisco Secure PIX Firewall に PPTP が最初に導入されたのはいつですか。

A. PPTP は Cisco Secure PIX Firewall バージョン 5.1 で最初に導入されました。詳細は、『PIX 拡張コンフィギュレーション ガイド』の「PPTP バーチャル プライベート ネットワーク」を参照してください。

Q. Microsoft Point-to-Point Encryption(MPPE)に関して、知っておく必要のある詳細情報はありますか。

A. MPPE では Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)が必要です。これが機能するには RADIUS あるいはローカルの認証が必要で、RADIUS サーバでは MPPE キーの属性値がサポートされている必要があります。

以下に、一部のプラットフォームでの MPPE 互換性を示します。

  • Cisco Secure ACS for UNIX(CSUNIX):非互換
  • Access Registrar:非互換
  • Funk RADIUS:互換
  • Cisco Secure ACS for Windows:互換
  • Microsoft Windows 2000 Internet Authentication Server:互換

Q. 最初に PPTP がサポートされた Cisco IOS ソフトウェアのバージョンは何ですか。

A. PPTP は、Cisco 7100/7200 ルータの Cisco IOS ソフトウェア リリース 12.0(5)XE5 で最初にサポートされました。 その後、Cisco IOS ソフトウェア リリース 12.1(5)T で、Cisco IOS の一般的なプラットフォームでサポートされるようになりました。

Q. Microsoft の PPTP 製品と VPN 3000 コンセントレータに関する、既知の互換性の問題はありますか。

A. この情報は、VPN 3000 シリーズ コンセントレータのソフトウェア リリース 3.5 以降、VPN 3000 シリーズ コンセントレータの 3005、3015、3030、3060、3080 モデル、および Microsoft の OS Windows 95 以降に基づくものです。

  • Windows 95 Dial-Up Networking(DUN)1.2:DUN 1.2 では Microsoft Point-to-Point Encryption(MPPE)はサポートされていません。MPPE を使用して接続するには、Windows 95 DUN 1.3 をインストールしてください。Microsoft DUN 1.3 upgradeleavingcisco.comについては、Microsoft の Web サイトからダウンロードできます。
  • Windows NT 4.0:Windows NT では、VPN コンセントレータへの PPTP 接続が完全にサポートされます。Service Pack 3(SP3)以降が必要です。SP3 が稼動している場合は、PPTP のパフォーマンスとセキュリティのパッチをインストールしてください。『PPTP Performance and Security Upgrade for WinNT 4.0leavingcisco.com』に関する情報は Microsoft の Web サイトを参照してください。この問題を解決するには、後で Service Pack を導入することなく、NT 4.0 Server Option Pack を再インストールする方法しかありません。

    注:128 ビットの暗号化対応の Service Pack 5 では MPPE キーの処理が適切に行われず、PPTP でデータの受け渡しができない可能性があります。 これが発生した場合は、イベント ログに次のメッセージが記録されます。

    103 12/09/1999 09:08:01.550 SEV=6 PPP/4 RPT=3 80.50.0.4 
    User [ testuser ] 
    disconnected. Experiencing excessive packet decrypt failure.
    この問題を解決するには、Windows NT Service Pack 6a leavingcisco.com へのアップグレードをダウンロードしてください。詳細は、Microsoft の技術情報『MPPE Keys Not Handled Correctly for a 128-Bit MS-CHAP Request』を参照してください。leavingcisco.com

Q. Cisco IOS ルータや PIX Firewall では PPTP パススルーや Port Address Translation(PAT; ポートアドレス変換)を介した PPTP 機能がサポートされていますか。

A. Cisco IOS ソフトウェア リリース 12.1T 以降では、PPTP パススルーや PAT を介した PPTP 機能がサポートされています。 詳細は、『Cisco IOS ソフトウェア 12.1T 早期配備リリース シリーズ』の「NAT - オーバーロード(ポート アドレス変換)設定の PPTP のサポート」セクションをご覧ください。 Cisco IOS ルータ上に PAT や PPTP パススルーで PPTP を設定するには、『IP トンネリング - Microsoft PPTP Server への PAT 越えの PPTP 接続設定』を参照してください。

PIX バージョン 6.3 以降では、PPTP フィックスアップ機能を使用して、PPTP パススルーや PAT を介した PPTP がサポートされています。この機能により、PAT 対応の設定になっていると、PPTP トラフィックが PIX を通過できます。このプロセスでは、PIX により PPTP のステートフル インスペクションが行われます。 PIX で PPTP フィックスアップを設定するには、『アプリケーション検査(フィックスアップ)の設定』の「PPTP の設定」に関するセクションを参照してください。fixup protocol pptp 1723 コマンドで PPTP フィックスアップを設定します。

トラブルシューティング

Q. PPTP トンネルに対応するには、ファイアウォールでどのポートを開くのですか。

A. 次のポートを開きます。

Q. Cisco IOS ソフトウェアの PPTP に関する既知の不具合はありますか。

A. 次の不具合が確認されています。

  • CSCdt46181 - 詳細は
    Cisco IOS PPTP の脆弱性』を参照してください。
  • CSCdz47290 - Cisco Express Forwarding(CEF)がグローバルにイネーブルにされていると、PPTP ファスト/プロセス スイッチングに障害が発生する。
  • CSCdx86482 - PPTP トンネルが壊れている。
  • CSCdt11570 - ハードウェアの Integrated Service Module(ISM; インテグレート サービス モジュール)で、128 ビットの Microsoft Point-to-Point Encryption(MPPE)が機能しない。
  • CSCdt66607 - Cisco Secure ACS for Windows で、PPTP の 128 ビット MPPE が機能しない。
  • CSCdu19654 - PPTP が失敗する。
  • CSCdv50861 - MPPE が Windows 2000 とネゴシエートしない。

追加情報については、登録されているお客様は Bug Toolkit登録ユーザ専用)を使用して不具合の詳細をご覧いただけます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

Q. PPTP に関する制限事項はありますか。

A. PPTP に関する制限事項があります。

  • PPTP は、Cisco Express Forwarding(CEF)とプロセススイッチングのみサポートします。ファスト スイッチングはサポートされていません。
  • Cisco IOS ソフトウェアでは、PPTP Network Server(PNS)として自発的トンネリング( voluntary tunneling )だけをサポートします。
  • MPPE のサポートには暗号化のイメージが必要です。MPPE には Microsoft Challenge Authentication Protocol(MS-CHAP)認証が必要で、TACACS+ ではサポートされていません。

Q. ルータで PPTP のトラブルシューティングを行う際に探す重要なデバッグ イベントは何ですか。

A. 次のデバッグ コマンドの出力を探します。

  • debug aaa authentication
  • debug aaa authorization
  • debug radius
  • debug ppp negotiation
  • debug ppp authentication
  • debug vpdn events
  • debug vpdn errors
  • debug vpdn l2x-packet
  • debug ppp mppe events
  • debug ppp chap

次の重要なイベントを探します。

SCCRQ = Start-Control-Connection-Request - 
    message code bytes 9 and 10 = 0001 
SCCRP = Start-Control-Connection-Reply 
OCRQ = Outgoing-Call-Request - 
    message code bytes 9 and 10 = 0007 
OCRP = Outgoing-Call-Reply

Q. メッセージ「Error 734」が表示されて、接続が解除されました。これはどういう意味ですか。

A. このエラーはルータと PC が認証をネゴシエートできないことを示しています。たとえば、PC 認証プロトコルに Shiva PAP(SPAP)と Microsoft Challenge Authentication Protocol(MS-CHAP)バージョン 2 を設定していて(ルータではバージョン 2 が実行できない場合)、ルータを CHAP に設定していると、ルータでの debug ppp negotiation コマンドでは次の出力が表示されます。

04:30:55: Vi1 LCP: Failed to negotiate with peer

他の例としては、ルータで vpdn group 1 ppp encrypt mppe 40 required が設定されていて、PC では「no encryption allowed」に設定されている場合があります。PC では接続が行われず、「Error 734」が発生します。さらに、ルータでの debug ppp negotiation コマンドには次の出力が表示されます。

04:51:55: Vi1 LCP: I PROTREJ 
 [Open] id 3 len 16 protocol CCP (0x80FD0157000A120601000020)

Q. 「Error 742」はどのような意味ですか。

A. このエラーは、リモート コンピュータが必要なデータ暗号化タイプをサポートしていないことを示しています。たとえば、PC を「暗号化専用」に設定していて、ルータで pptp encrypt mppe auto コマンドを削除すると、PC とルータでの暗号化が一致しないことになります。debug ppp negotiation コマンドには次の出力が表示されます。

04:41:09: Vi1 LCP: O PROTREJ 
 [Open] id 5 len 16 protocol CCP (0x80FD0102000A1206010000B0)

別の例にはルータの MPPE RADIUS の問題があります。ルータを ppp encrypt mppe auto required に設定していて、PC が「encryption allowed with authentication to a RADIUS server not returning the MPPE key(MPPE キーを返していない RADIUS サーバへの認証で暗号化が許可されている)」になっていると、PC では「Error 742: The remote computer does not support the required data encryption type」のエラーが表示されます。 ルータのデバッグでは、次に示すように「Call-Clear-Request」(バイト 9 と 10 が 0x000C、10 進表示では 12、つまり Call-Clear-Request per RFC)が表示されます。

00:45:58: Tnl 17 PPTP: CC I 001000011A2B3C4D000C000000000000 
00:45:58: Vi1 Tnl/Cl 17/17 PPTP: CC I ClearRQ

Q. スプリット トンネリングの問題が発生しているようです。PC で PPTP トンネルがアップした際に、PPTP ルータが元のデフォルトよりも高いメトリックになっていて、接続が失われた場合にはどうすればよいですか。

A. この問題に対処するには、バッチ ファイル(batch.bat)を実行して Microsoft のルーティングを修正します。デフォルトを削除して、デフォルト ルートを再インストールします(PPTP クライアントが割り当てられている 192.168.1.1 のような IP アドレスを知っている必要があります)。

次の例では、ルータ内のネットワークは 10.13.1.x になっています。

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 161.44.17.1 metric 1
route add 10.13.1.0 mask 255.255.255.0 192.168.1.1 metric 1

Q. PPTP をトラブルシューティングする際に考慮する問題は何ですか。

A. 次に、PPTP をトラブルシューティングする際に考慮する Microsoft 関連の問題をいくつか示します。詳細情報は、各リンク先の Microsoft 技術情報ベースにあります。

  • How to Keep RAS Connections Active After Logging Off leavingcisco.com RAS クライアントでログオフすると、Windows Remote Access Service(RAS)接続が自動的に接続解除される。RAS クライアントで KeepRasConnections レジストリ キーをイネーブルにすると、接続を温存できます。
  • User Is Not Alerted When Logging On With Cached Credentials leavingcisco.com Windows ベースのワークステーションやメンバ サーバからドメインにログオン中に、ドメイン コントローラが見つからない場合、この問題を示すエラー メッセージが表示されない。 代わりに、キャッシュされた認定証を使用して、ローカル コンピュータにログオンされます。
  • How to Write an LMHOSTS File for Domain Validation and Other Name Resolution Issues leavingcisco.com TCP/IP ネットワークで名前解決の問題が発生したら、NetBIOS 名の解決に Lmhosts ファイルを使用する必要がある場合があります。名前解決とドメイン検証に使用する Lmhosts ファイルの作成は、特定の手順に従って行う必要があります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 18761