IP : Dispositivos de seguridad Cisco PIX de la serie 500

Configuración de Cisco Secure PIX Firewall para utilizar PPTP

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (18 Diciembre 2007) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuración
     Diagrama de la red
     Consejos de configuración para PIX Firewall
Configuración de la función PPTP en los equipos cliente
     Windows 98
     Windows 2000
     Windows NT
Configuración de PIX
     Configuración de PIX: autenticación local con cifrado
     Configuración de PIX: autenticación RADIUS con cifrado
Configuración de Cisco Secure ACS para Windows 3.0
     Autenticación RADIUS con cifrado
Verificación
     Comandos show PIX (post autenticación)
     Verificación del equipo cliente
Resolución de problemas
     Comandos para resolución de problemas
     Habilitación del registro PPP en el equipo cliente
     Temas adicionales de Microsoft
     Ejemplo del resultado de la depuración
     Qué puede salir mal
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

El protocolo de tunelización punto a punto (PPTP) es un protocolo de tunelización de capa 2 que permite a un cliente remoto utilizar una red IP pública para comunicarse de forma segura con los servidores en una red corporativa privada. PPTP realiza la tunelización IP. PPTP se describe en RFC 2637 leavingcisco.com. La compatibilidad con PPTP en el PIX Firewall se incorporó en el software PIX versión 5.1. La documentación de PIX proporciona más información acerca de PPTP y su uso con PIX. En este documento se describe cómo configurar PIX para utilizar PPTP con autenticación local, TACACS+ y RADIUS, y se incluyen consejos y ejemplos que se pueden utilizar para ayudar a resolver problemas comunes.

Asimismo, se muestra la forma de configurar conexiones PPTP en el PIX. Para configurar un PIX o ASA de modo que permita PPTP a través del dispositivo de seguridad, consulte Permitting PPTP Connections Through the PIX. (Habilitación de conexiones PPTP a través de PIX).

Consulte Cisco Secure PIX Firewall 6.x y Cisco VPN Client 3.5 para Windows con autenticación en un servidor IAS RADIUS de Microsoft Windows 2000 y Microsoft Windows 2003 para configurar PIX Firewall y Cisco VPN Client para su uso con el servidor del servicio de autenticación de Internet (IAS) RADIUS de Microsoft Windows 2000 y Microsoft Windows 2003.

Consulte Configuring the VPN 3000 Concentrator and PPTP with Cisco Secure ACS for Windows RADIUS Authentication (Configuración del concentrador VPN 3000 y PPTP con Cisco Secure ACS para Windows para la autenticación RADIUS) para configurar PPTP en un concentrador VPN 3000 con Cisco Secure Access Control System (ACS) para Windows para la autenticación RADIUS.

Consulte Configuring Cisco Secure ACS for Windows Router PPTP Authentication (Configuración de CiscoSecure ACS para la autenticación PPTP de router de Windows) para configurar una conexión del PC al router, que proporcionará después autenticación de usuario en el servidor Cisco Secure ACS 3.2 para Windows, antes de permitir el acceso del usuario a la red.

Nota: desde el punto de vista de PPTP según el RFC, el servidor de red de PPTP (PNS) es el servidor (en este caso, PIX o el receptor) y el concentrador de acceso de PPTP (PAC) es el cliente (el equipo PC o el llamador).

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

La información que contiene este documento se basa en el software Cisco Secure PIX Firewall, versión 6.2(1) y 6.3(3).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red.

pptppix.gif

Consejos de configuración para PIX Firewall

Tipo de autenticación - CHAP, PAP, MS-CHAP

PIX configurado para los tres métodos de autenticación (CHAP, PAP,MS-CHAP) al mismo tiempo ofrece la mejor opción de conexión, independientemente de cómo se haya configurado el equipo PC. Es una buena idea para la resolución de problemas.

            vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp authentication pap
         

Cifrado punto a punto de Microsoft (MPPE)

Utilice la sintaxis de este comando para configurar el cifrado MPPE en PIX Firewall.

            vpdn group 1 ppp encryption mppe 40|128|auto [required]
         

En este comando, required es una palabra clave opcional. Debe configurarse MS-CHAP.

Configuración de la función PPTP en los equipos cliente

Nota: la información disponible aquí sobre la configuración del software Microsoft no incluye ninguna garantía ni soporte técnico para el software de Microsoft. El soporte técnico para el software de Microsoft está disponible desde Microsoft y en el sitio Web de soporte técnico de Microsoft leavingcisco.com.

Windows 98

Siga los pasos siguientes para instalar la función PPTP en Windows 98.

  1. Seleccione Start > Settings > Control Panel > Add New Hardware. Haga clic en Next.

  2. Haga clic en Select from List y elija Network Adapter. Haga clic en Next.

  3. Elija Microsoft en el panel izquierdo y Microsoft VPN Adapter en el panel derecho.

Siga los pasos siguientes para configurar la función PPTP.

  1. Seleccione Start > Programs > Accessories > Communications > Dial Up Networking.

  2. Haga clic en Make new connection. En la opción Select a device, conéctese utilizando Microsoft VPN Adapter. La dirección IP del servidor VPN es el punto extremo de túnel PIX.

  3. La autenticación predeterminada de Windows 98 utiliza el cifrado de contraseñas (CHAP o MS-CHAP). Para cambiar el equipo PC y permitir también PAP, seleccione Properties > Server types. Desactive la casilla Require encrypted password. Puede configurar cifrado de datos (MPPE o no) en esta área.

Windows 2000

Siga los pasos siguientes para configurar la función PPTP en Windows 2000.

  1. Seleccione Start > Programs > Accessories > Communications > Network & Dialup connections.

  2. Haga clic en Make new connection y, a continuación, en Next.

  3. Seleccione Connect to a private network through the Internet y Dial a connection prior o bien no seleccione esta opción si tiene una LAN. Haga clic en Next.

  4. Ingrese el nombre del host o la dirección IP de punto extremo del túnel (PIX/router).

  5. Si necesita cambiar el tipo de contraseña, seleccione Properties > Security for the connection > Advanced. El valor predeterminado es MS-CHAP y MS-CHAP v2 (no CHAP o PAP). Puede configurar un cifrado de datos (MPPE o no) en esta área.

Windows NT

Consulte Installing, Configuring, and Using PPTP with Microsoft Clients and Servers leavingcisco.com (Instalación, configuración y uso de PPTP con clientes y servidores de Microsoft) para configurar los clientes NT para PPTP.

Configuración de PIX

Configuración de PIX: autenticación local sin cifrado

PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 pix/intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit ip 10.1.1.0 255.255.255.0
   192.168.1.0 255.255.255.0
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
logging trap debugging
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 10baset
mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 172.18.124.152 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address pix/intf2 127.0.0.1 255.255.255.255
ip local pool pptp-pool 192.168.1.1-192.168.1.50
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address pix/intf2 0.0.0.0
arp timeout 14400
global (outside) 1 172.18.124.201-172.18.124.202
nat (inside) 0 access-list 101
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
isakmp identity hostname
telnet timeout 5
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication local
vpdn username cisco password cisco
vpdn enable outside
terminal width 80
Cryptochecksum:a72d9f71d1a31332307fcd348e02410d
: end

Configuración de PIX: autenticación local con cifrado

Si agrega este comando a la configuración de PIX: autenticación local, configuración sin cifrado, el equipo PC y el PIX negocian el cifrado de 40 bits de manera automática o ninguno (según la configuración del equipo PC).

            vpdn group 1 ppp encryption mppe auto
         

Si PIX tiene la función 3DES habilitada, el comando show version muestra el mensaje siguiente.

  • Versiones 6.3 y posteriores:

    VPN-3DES-AES: Enabled
  • Versiones 6.2 y anteriores:

    VPN-3DES: Enabled

También es posible el cifrado de 128 bits. Sin embargo, si aparece uno de estos mensajes, el PIX no está habilitado para el cifrado de 128 bits.

  • Versiones 6.3 y posteriores:

    Warning: VPN-3DES-AES license is required
    for 128 bits MPPE encryption
  • Versiones 6.2 y anteriores:

    Warning: VPN-3DES license is required
    for 128 bits MPPE encryption

Aquí se muestra la sintaxis para el comando MPPE.

            vpdn group ppp encryption mppe 40|128|auto [required]
         

El equipo PC y PIX se deben configurar para autenticación MS-CHAP junto con MPPE.

Configuración de PIX: autenticación TACACS+/RADIUS sin cifrado

PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 pix/intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit ip 10.1.1.0 255.255.255.0
   192.168.1.0 255.255.255.0
pager lines 24
logging on
logging timestamp
no logging standby
logging console debugging
no logging monitor
logging buffered debugging
logging trap debugging
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 10baset
mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 172.18.124.152 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address pix/intf2 127.0.0.1 255.255.255.255
ip local pool pptp-pool 192.168.1.1-192.168.1.50
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address pix/intf2 0.0.0.0
arp timeout 14400
global (outside) 1 172.18.124.201-172.18.124.202
nat (inside) 0 access-list 101
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius

                     !--- Utilice RADIUS o TACACS+ en esta sentencia.
                  

                   aaa-server AuthInbound protocolo radius | tacacs+
 aaa-server AuthInbound (outside) host 172.18.124.99 cisco timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
isakmp identity address
telnet 10.1.1.5 255.255.255.255 inside
telnet 10.1.1.5 255.255.255.255 pix/intf2
telnet timeout 5
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication aaa AuthInbound
vpdn enable outside
terminal width 80
Cryptochecksum:96e9c93cb0a6ad6f53581dd7b61ac763
: end
[OK]

Configuración de PIX: autenticación RADIUS con cifrado

Si se utiliza RADIUS y el servidor RADIUS (atributo 26 específico del proveedor, Microsoft como proveedor) admite la creación de claves MPPE, se puede agregar el cifrado MPPE. La autenticación TACACS+ no funciona con el cifrado debido a que los servidores TACACS+ no pueden devolver claves MPPE especiales. RADIUS 2.5 y versiones posteriores de Cisco Secure ACS para Windows no admite MPPE (no todos los servidores de RADIUS admiten MPPE).

Con el supuesto de que la autenticación RADIUS funciona sin cifrado, para agregar cifrado incluya este comando en la configuración anterior:

            vpdn group 1 ppp encryption mppe auto
         

El equipo PC y PIX negocian automáticamente el cifrado de 40 bits o ninguno (según la configuración del equipo PC).

Si PIX tiene la función 3DES habilitado, el comando show version muestra el mensaje siguiente.

VPN-3DES: Enabled

También es posible el cifrado de 128 bits. Sin embargo si aparece este mensaje, el PIX no está habilitado para el cifrado de 128 bits.

Warning: VPN-3DES license is required
for 128 bits MPPE encryption 

En este resultado se muestra la sintaxis para el comando MPPE.

            vpdn group ppp encryption mppe 40|128|auto [required]
         

El equipo PC y PIX se deben configurar para autenticación MS-CHAP junto con MPPE.

Configuración de Cisco Secure ACS para Windows 3.0

Autenticación RADIUS con cifrado

Siga los pasos siguientes para configurar Cisco Secure ACS para Windows 3.0. Se aplican los mismos pasos de configuración para las versiones 3.1 y 3.2 de ACS.

  1. Agregue el PIX a Secure ACS de Cisco en Network Configuration del servidor Windows e identifique el tipo de diccionario como RADIUS (Cisco IOS/PIX).

    pptppix_01.gif

  2. Abra Interface Configuration > RADIUS (Microsoft) y compruebe los atributos MPPE para que aparezcan en la interfaz de grupo.

    pptppix_02.gif

  3. Agregue un usuario. En el grupo del usuario, agregue los atributos MPPE [RADIUS (Microsoft)]. Debe habilitar estos atributos para el cifrado y es opcional cuando PIX no está configurado para el cifrado.

    pptppix_03.gif

Verificación

En esta sección encontrará información que puede utilizar para comprobar que la configuración funciona correctamente.

Comandos show PIX (post autenticación)

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

El comando show vpdn enumera la información de túnel y sesión.

PIX#show vpdn

PPTP Tunnel and Session Information (Total tunnels=1 sessions=1)

Tunnel id 13, remote id is 13, 1 active sessions
  Tunnel state is estabd, time since event change 24 secs
  remote   Internet Address 161.44.17.104, port 1723
  Local    Internet Address 172.18.124.152, port 1723
  12 packets sent, 35 received, 394 bytes sent, 3469 received

Call id 13 is up on tunnel id 13
Remote Internet Address is 161.44.17.104
  Session username is cisco, state is estabd
    Time since event change 24 secs, interface outside
    Remote call id is 32768
    PPP interface id is 1
    12 packets sent, 35 received, 394 bytes sent, 3469 received
    Seq 13, Ack 34, Ack_Rcvd 12, peer RWS 64
    0 out of order packets

Verificación del equipo cliente

En una ventana de MS-DOS o desde la ventana Ejecutar, escriba ipconfig /all. La parte del adaptador PPP muestra este resultado.

PPP adapter pptp:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        DHCP Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 192.168.1.1
        DNS Servers . . . . . . . . . . . :

También puede hacer clic en Details para ver información en la conexión PPTP.

Resolución de problemas

En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración.

  • Debe haber conectividad para la encapsulación de enrutamiento genérica (GRE) y TCP 1723 desde el equipo PC al punto extremo de túnel PIX. Si existe la posibilidad de bloqueo por un firewall o una lista de acceso, acerque el equipo PC al PIX.

  • Windows 98 y Windows 2000 PPTP son más fáciles de configurar. Si es dudoso, intente con PCs y sistemas operativos. Después de una conexión con éxito, haga clic en Details en el equipo PC para ver información sobre la conexión. Por ejemplo, si utiliza PAP, CHAP, IP, cifrado, etc.

  • Si tiene previsto utilizar RADIUS o TACACS+, intente configurar primero la autenticación local (nombre de usuario y contraseña en PIX). Si esto no funciona, autenticar con un RADIUS o TACACS+ no funciona.

  • Inicialmente, asegúrese de que la configuración de seguridad del equipo PC permite tantos tipos de autenticación diferentes como sea posible (PAP, CHAP, MS-CHAP) y desactive la casilla Require data encryption; haga que sea opcional tanto para PIX como para el equipo PC.

  • Dado que el tipo de autenticación se negocia, configure PIX con el número máximo de posibilidades. Por ejemplo, si el equipo PC está configurado sólo para MS-CHAP y el router sólo para PAP, no hay nunca ningún acuerdo.

  • Si PIX actúa como servidor PPTP para dos ubicaciones diferentes y cada ubicación tiene su propio servidor RADIUS en el interior, no se admite el uso de un solo PIX para las dos ubicaciones atendidas por su propio servidor RADIUS.

  • Algunos servidores RADIUS no admiten MPPE. Si un servidor RADIUS no admite la creación de claves MPPE, la autenticación RADIUS funciona, pero el cifrado MPPE no.

  • Con Windows 98 o posterior, cuando use PAP o CHAP, el nombre de usuario enviado a PIX es idéntico al que se especifica en la conexión de acceso telefónico (DUN). Pero al utilizar MS-CHAP, el nombre de dominio se puede agregar al inicio del nombre de usuario, por ejemplo:

    • Nombre de usuario especificado en DUN: "cisco"

    • Dominio establecido en la casilla de Windows 98: "DOMINIO"

    • Nombre de usuario de MS-CHAP enviado a PIX: "DOMINIO\cisco"

    • Nombre de usuario en PIX: "cisco"

    • Resultado: nombre de usuario/contraseña no válidos

    Esta sección del registro PPP de un equipo PC con Windows 98 muestra el comportamiento.

    02-01-2001 08:32:06.78 - Data 0038: 49 53 4c 41 42 5c 63 69 | DOMAIN\ci
    02-01-2001 08:32:06.78 - Data 0040: 73 63 6f 00 00 00 00 00 | sco.....
    |
    |
    02-01-2001 08:32:06.80 - Data 0000: c2 23 04 01 00 1a 41 75 | .#...^ZAu
    02-01-2001 08:32:06.80 - Data 0008: 74 68 65 6e 74 69 63 61 | thentica
    02-01-2001 08:32:06.80 - Data 0010: 74 69 6f 6e 20 66 61 69 | tion fai
    02-01-2001 08:32:06.80 - Data 0018: 6c 65 64 2e 00 00 00 00 | led.....
    02-01-2001 08:32:06.80 - CHAP : Login failed: username, password,
       or domain was incorrect.

    Si utiliza Windows 98 y MS-CHAP para PIX, además de tener el nombre de usuario que no es del dominio, puede agregar "DOMINIO\nombre de usuario" a PIX:

                      vpdn username cisco password cisco
    vpdn username DOMAIN\cisco password cisco
                   

    Nota: lo mismo sucede si realiza una autenticación remota en un servidor AAA.

Comandos para resolución de problemas

La información sobre la secuencia de la secuencia esperada de los eventos PPTP se encuentra en RFC 2637 leavingcisco.com. En PIX, los eventos significativos de una buena secuencia PPTP muestran:

SCCRQ (Start-Control-Connection-Request)
SCCRP (Start-Control-Connection-Reply)
OCRQ (Outgoing-Call-Request)
OCRP (Outgoing-Call-Reply)

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

Comandos debug de PIX

  • debug ppp io: muestra la información de paquetes para la interfaz virtual PPTP PPP.

  • debug ppp error: muestra los errores de protocolo y las estadísticas de error relacionadas con la negociación y operación de conexiones PPP.

  • debug vpdn error: muestra errores que impiden que se establezca un túnel PPP o errores que provocan que un túnel establecido se cierre.

  • debug vpdn packet: muestra errores L2TP y eventos que forman parte del establecimiento normal de túneles o apagado para VPDN.

  • debug vpdn events: muestra mensajes relativos a eventos que forman parte del establecimiento o cierre normal del túnel PPP.

  • debug ppp uauth: muestra los mensajes de depuración de autenticación de usuario de AAA de la interfaz virtual de PPTP PPP.

Comandos clear de PIX

Este comando debe ejecutarse en el modo de configuración.

  • clear vpdn tunnel [all | [id tunnel_id]]: elimina uno o más túneles PPTP de la configuración.

Precaución Precaución:  No ejecute el comando clear vpdn. Esto borra todos los comandos vpdn.

Habilitación del registro PPP en el equipo cliente

Complete estas instrucciones para activar la depuración PPP para los distintos sistemas operativos Windows y de Microsoft.

Windows 95

Siga los pasos siguientes para habilitar el registro PPP en una máquina con Windows 95.

  1. En la opción Network de Control Panel, haga doble clic en Microsoft Dial-Up Adapter de la lista de componentes de red instalados.

  2. Haga clic en la ficha Advanced. En la lista de propiedades, haga clic en la opción Record A Log File, y en la lista de valores, haga clic en Yes. A continuación, haga clic en OK.

  3. Reinicie el equipo para que se aplique esta opción. El registro se guarda en un archivo denominado ppplog.txt.

Windows 98

Siga los pasos siguientes para habilitar el registro PPP en un equipo con Windows 98.

  1. En Dial-Up Networking, haga clic en un icono de conexión y, a continuación, seleccione File > Properties.

  2. Haga clic en la ficha Server Types.

  3. Seleccione la opción con el nombre Record a log file for this connection. El archivo de registro se encuentra en C:\Windows\ppplog.txt

Windows 2000

Para habilitar el registro PPP en una máquina con Windows 2000, vaya a la página de soporte técnico de Microsoft leavingcisco.com y busque Habilitación del registro de PPP en Windows.

Windows NT

Siga los pasos siguientes para habilitar el registro de PPP en un sistema NT.

  1. Localice la clave SYSTEM\CurrentControlSet\Services\RasMan\PPP y cambie Logging de 0 a 1. Esto crea un archivo denominado PPP.LOG en el directorio <winnt root>\SYSTEM32\RAS.

  2. Para depurar una sesión PPP, habilite primero el registro y, a continuación, inicie la conexión PPP. Cuando se produce un error de conexión o ésta se interrumpe, examine PPP.LOG para determinar qué sucedió.

Para obtener más información, consulte la página de soporte técnico de Microsoft leavingcisco.com y busque Habilitación del registro de PPP en Windows NT.

Temas adicionales de Microsoft

Varios de los problemas relacionados con Microsoft que se deben tener en cuenta al solucionar problemas de PPTP se enumeran aquí. La información detallada se encuentra disponible en la base de conocimientos de Microsoft en los enlaces proporcionados.

Ejemplo del resultado de la depuración

Depuración PIX: autenticación local

Este resultado de depuración muestra los eventos significativos en cursiva.

PPTP: new peer fd is 1

Tnl 42 PPTP: Tunnel created; peer initiated PPTP:
   created tunnel, id = 42

PPTP: cc rcvdata, socket fd=1, new_conn: 1
PPTP: cc rcv 156 bytes of data

SCCRQ = Start-Control-Connection-Request - message code bytes 9 & 10 = 0001

Tnl 42 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 42 PPTP: CC I SCCRQ
Tnl 42 PPTP: protocol version 0x100
Tnl 42 PPTP: framing caps 0x1
Tnl 42 PPTP: bearer caps 0x1
Tnl 42 PPTP: max channels 0
Tnl 42 PPTP: firmware rev 0x0
Tnl 42 PPTP: hostname "local"
Tnl 42 PPTP: vendor "9x"
Tnl 42 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd

SCCRP = Start-Control-Connection-Reply - message code bytes 9 & 10 = 0002

Tnl 42 PPTP: CC O SCCRP
PPTP: cc snddata, socket fd=1, len=156,
    data: 009c00011a2b3c4d0002000001000100000000030000...

PPTP: cc waiting for input, max soc FD = 1

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data

OCRQ = Outgoing-Call-Request - message code bytes 9 & 10 = 0007

Tnl 42 PPTP: CC I 00a800011a2b3c4d00070000000000000000dac00000...
Tnl 42 PPTP: CC I OCRQ
Tnl 42 PPTP: call id 0x0
Tnl 42 PPTP: serial num 0
Tnl 42 PPTP: min bps 56000:0xdac0
Tnl 42 PPTP: max bps 64000:0xfa00
Tnl 42 PPTP: bearer type 3
Tnl 42 PPTP: framing type 3
Tnl 42 PPTP: recv win size 16
Tnl 42 PPTP: ppd 0
Tnl 42 PPTP: phone num Len 0
Tnl 42 PPTP: phone num ""
Tnl/Cl 42/42 PPTP: l2x store session: tunnel id 42,
   session id 42, hash_ix=42
PPP virtual access open, ifc = 0

Tnl/Cl 42/42 PPTP: vacc-ok -> state change wt-vacc to estabd

OCRP = Outgoing-Call-Reply - message code bytes 9 & 10 = 0008

Tnl/Cl 42/42 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32,
   data: 002000011a2b3c4d00080000002a00000100000000fa...

               !--- La depuración después de este último evento es el flujo de paquetes.
            
PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 27,
    data: ff03c021010100170206000a00000506001137210702...

PPP xmit, ifc = 0, Len: 23 data:
    ff03c021010100130305c22380050609894ab407020802

Interface outside - PPTP xGRE: Out paket, PPP Len 23

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 39,
   seq 1, ack 1,
   data: 3081880b001700000000000100000001ff03c0210101...
PPP xmit, ifc = 0, Len: 17
   data: ff03c0210401000d0206000a00000d0306

Interface outside - PPTP xGRE: Out paket, PPP Len 17

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33,
   seq 2, ack 1,
   data: 3081880b001100000000000200000001ff03c0210401...
outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 2, ack 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 23,
    data: ff03c021020100130305c22380050609894ab407020802

outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 34, seq 3, ack 2

PPP rcvd, ifc = 0, pppdev: 1, Len: 18,
    data: ff03c0210102000e05060011372107020802

PPP xmit, ifc = 0, Len: 18
   data: ff03c0210202000e05060011372107020802

Interface outside - PPTP xGRE: Out paket, PPP Len 18

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 34,
   seq 3, ack 3,
   data: 3081880b001200000000000300000003ff03c0210202...
PPP xmit, ifc = 0, Len: 17
   data: ff03c2230101000d08d36602863630eca8

Interface outside - PPTP xGRE: Out paket, PPP Len 15

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 31,
   seq 4, ack 3,
   data: 3081880b000f00000000000400000003c2230101000d...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 76, seq 4, ack 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
   data: ff03c2230201003a31d4d0a397a064668bb00d954a85...

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
   seq 5, ack 4,
   data: 3081880b000600000000000500000004c22303010004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 58, seq 5, ack 5

PPP rcvd, ifc = 0, pppdev: 1, Len: 44,
    data: ff038021010100280206002d0f010306000000008106...

PPP xmit, ifc = 0, Len: 14 data: ff0380210101000a030663636302

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
   seq 6, ack 5,
   data: 3081880b000c0000000000060000000580210101000a...
PPP xmit, ifc = 0, Len: 38
    data: ff038021040100220206002d0f018106000000008206...

Interface outside - PPTP xGRE: Out paket, PPP Len 36

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 52,
   seq 7, ack 5,
   data: 3081880b002400000000000700000005802104010022...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 29, seq 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 19,
    data: ff0380fd0101000f1206010000011105000104

PPP xmit, ifc = 0, Len: 8 data: ff0380fd01010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
   seq 8, ack 6,
   data: 3081880b00060000000000080000000680fd01010004
PPP xmit, ifc = 0, Len: 19
   data: ff0380fd0401000f1206010000011105000104

Interface outside - PPTP xGRE: Out paket, PPP Len 17

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33,
   seq 9, ack 6,
   data: 3081880b00110000000000090000000680fd0401000f...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 28, seq 7, ack 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
    data: ff0380210201000a030663636302

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 22, seq 8, ack 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
   data: ff0380fd02010004

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 22, seq 9, ack 9

PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
   data: ff0380fd01020004

PPP xmit, ifc = 0, Len: 8 data: ff0380fd02020004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
   seq 10, ack 9,
   data: 3081880b000600000000000a0000000980fd02020004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 22, seq 10, ack 10

PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
   data: ff0380fd05030004

PPP xmit, ifc = 0, Len: 8 data: ff0380fd06030004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
   seq 11, ack 10,
   data: 3081880b000600000000000b0000000a80fd06030004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 48, seq 11

PPP rcvd, ifc = 0, pppdev: 1, Len: 38,
   data: ff038021010200220306000000008106000000008206...

PPP xmit, ifc = 0, Len: 32
   data: ff0380210402001c8106000000008206000000008306...

Interface outside - PPTP xGRE: Out paket, PPP Len 30

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 46,
   seq 12, ack 11,
   data: 3081880b001e00000000000c0000000b80210402001c...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 28, seq 12, ack 12

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
    data: ff0380210103000a030600000000

PPP xmit, ifc = 0, Len: 14
   data: ff0380210303000a0306ac100101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
   seq 13, ack 12,
   data: 3081880b000c00000000000d0000000c80210303000a...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 28, seq 13, ack 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380210104000a0306ac100101

PPP xmit, ifc = 0, Len: 14
   data: ff0380210204000a0306ac100101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
   seq 14, ack 13,
   data: 3081880b000c00000000000e0000000d80210204000a...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 41, seq 14

PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
    data: ff0300214500001cc80000008001e5ccac100101e000...
PPP IP Pkt: 4500001cc80000008001e5ccac100101e00000020a00...
603104: PPTP Tunnel created, tunnel_id is 42,
   remote_peer_ip is 99.99.99.5
   ppp_virtual_interface_id is 1,
   client_dynamic_ip is 172.16.1.1
   username is john, MPPE_key_strength is None

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 15

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060ca0000008011176bac100101ac10...
PPP IP Pkt: 45000060ca0000008011176bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 16

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060cb0000008011166bac100101ac10...
PPP IP Pkt: 45000060cb0000008011166bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 17

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060cc0000008011156bac100101ac10...
PPP IP Pkt: 45000060cc0000008011156bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 18

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060d00000008011116bac100101ac10...
PPP IP Pkt: 45000060d00000008011116bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 19

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060d200000080110f6bac100101ac10...
PPP IP Pkt: 45000060d200000080110f6bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 20

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060d300000080110e6bac100101ac10...
PPP IP Pkt: 45000060d300000080110e6bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 41, seq 21

PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
    data: ff0300214500001cd60000008001d7ccac100101e000...
PPP IP Pkt: 4500001cd60000008001d7ccac100101e00000020a00...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 22

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060d80000008011096bac100101ac10...
PPP IP Pkt: 45000060d80000008011096bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 23

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060da0000008011076bac100101ac10...
PPP IP Pkt: 45000060da0000008011076bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 24

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060db0000008011066bac100101ac10...
PPP IP Pkt: 45000060db0000008011066bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 25

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060de0000008011036bac100101ac10...
PPP IP Pkt: 45000060de0000008011036bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 26

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060e00000008011016bac100101ac10...
PPP IP Pkt: 45000060e00000008011016bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 109, seq 27

PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
    data: ff03002145000060e10000008011006bac100101ac10...
PPP IP Pkt: 45000060e10000008011006bac100101ac10ffff0089...
inside:172.16.255.255/137
outside PPTP: Recvd xGRE pak from 99.99.99.5,
   Len 41, seq 28

PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
    data: ff0300214500001ce40000008001c9ccac100101e000...
PPP IP Pkt: 4500001ce40000008001c9ccac100101e00000020a00...

Depuración PIX - Autenticación de RADIUS

Este resultado de depuración muestra los eventos significativos en cursiva.

PIX#terminal monitor
PIX# 106011: Deny inbound (No xlate) icmp src
   outside:172.17.194.164 dst
   outside:172.18.124.201 (type 8, code 0)
106011: Deny inbound (No xlate) icmp src
   outside:172.17.194.164 DST
   outside:172.18.124.201 (type 8, code 0)

PIX#
PPTP: soc select returns rd mask = 0x1
PPTP: new peer FD is 1

Tnl 9 PPTP: Tunnel created; peer initiatedPPTP:
   created tunnel, id = 9

PPTP: cc rcvdata, socket FD=1, new_conn: 1
PPTP: cc rcv 156 bytes of data

SCCRQ = Start-Control-Connection-Request - message code bytes 9 & 10 = 0001

Tnl 9 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 9 PPTP: CC I SCCRQ
Tnl 9 PPTP: protocol version 0x100
Tnl 9 PPTP: framing caps 0x1
Tnl 9 PPTP: bearer caps 0x1
Tnl 9 PPTP: max channels 0
Tnl 9 PPTP: firmware rev 0x870
Tnl 9 PPTP: hostname ""
Tnl 9 PPTP: vendor "Microsoft Windows NT"
Tnl 9 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd

SCCRP = Start-Control-Connection-Reply - message code bytes 9 & 10 = 0002

Tnl 9 PPTP: CC O SCCRP
PPTP: cc snddata, socket FD=1, Len=156,
    data: 009c00011a2b3c4d0002000001000100000000030000...

PPTP: cc waiting for input, max soc FD = 1

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data

OCRQ = Outgoing-Call-Request - message code bytes 9 & 10 = 0007

Tnl 9 PPTP: CC I 00a800011a2b3c4d000700004000e4f50000012c05f5...
Tnl 9 PPTP: CC I OCRQ
Tnl 9 PPTP: call id 0x4000
Tnl 9 PPTP: serial num 58613
Tnl 9 PPTP: min bps 300:0x12c
Tnl 9 PPTP: max BPS 100000000:0x5f5e100
Tnl 9 PPTP: bearer type 3
Tnl 9 PPTP: framing type 3
Tnl 9 PPTP: recv win size 64
Tnl 9 PPTP: ppd 0
Tnl 9 PPTP: phone num Len 0
Tnl 9 PPTP: phone num ""
Tnl/Cl 9/9 PPTP: l2x store session: tunnel id 9,
   session id 9, hash_ix=9
PPP virtual access open, ifc = 0

Tnl/CL 9/9 PPTP: vacc-ok -> state change wt-vacc to estabd

OCRP = Outgoing-Call-Reply - message code bytes 9 & 10 = 0008

Tnl/CL 9/9 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32,
    data: 002000011a2b3c4d00080000000940000100000000fa...


PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 60, seq 0

PPP rcvd, ifc = 0, pppdev: 1, Len: 48,
    data: ff03c0210100002c0506447e217e070208020d030611...

PPP xmit, ifc = 0, Len: 23
    data: ff03c021010100130305c2238005065a899b2307020802

Interface outside - PPTP xGRE: Out paket, PPP Len 23

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 39,
   seq 1, ack 0,
   data: 3081880b001740000000000100000000ff03c0210101...
PPP xmit, ifc = 0, Len: 38
    data: ff03c021040000220d03061104064e131701beb613cb..
.

Interface outside - PPTP xGRE: Out paket, PPP Len 38

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 54,
   seq 2, ack 0,
   data: 3081880b002640000000000200000000ff03c0210400...
PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data

Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000ffffffffffff...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 39, seq 1, ack 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 23,
    data: ff03c021020100130305c2238005065a899b2307020802

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 34, seq 2, ack 2

PPP rcvd, ifc = 0, pppdev: 1, Len: 18,
    data: ff03c0210101000e0506447e217e07020802

PPP xmit, ifc = 0, Len: 18
    data: ff03c0210201000e0506447e217e07020802

Interface outside - PPTP xGRE: Out paket, PPP Len 18


outside PPTP: Sending xGRE pak to 161.44.17.104, Len 34,
   seq 3, ack 2,
   data: 3081880b001240000000000300000002ff03c0210201...
PPP xmit, ifc = 0, Len: 17
   data: ff03c2230101000d08f3686cc47e37ce67

Interface outside - PPTP xGRE: Out paket, PPP Len 15

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 31,
   seq 4, ack 2,
   data: 3081880b000f40000000000400000002c2230101000d...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 36, seq 3, ack 3

PPP rcvd, ifc = 0, pppdev: 1, Len: 22,
    data: ff03c0210c020012447e217e4d5352415356352e3030

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 45, seq 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 35,
    data: ff03c0210c03001f447e217e4d535241532d312d4349...

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data

Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000000000000000...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 76, seq 5, ack 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
    data: ff03c2230201003a3100000000000000000000000000...

uauth_mschap_send_req: pppdev=1, ulen=4, user=john
6031
uauth_mschap_proc_reply: pppdev = 1, status = 1

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 161.44.17.104,
   Len 22, seq 5, ack 5,
   data: 3081880b000640000000000500000005c22303010004
CHAP peer authentication succeeded for john

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 72, seq 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
    data: ff03c2230201003a3100000000000000000000000000...

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 22,
   seq 6, ack 6,
   data: 3081880b000640000000000600000006c22303010004
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 7, ack 5

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
    data: ff0380fd0104000a120601000001

PPP xmit, ifc = 0, Len: 14
   data: ff0380fd0101000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 7, ack 7,
   data: 3081880b000c4000000000070000000780fd0101000a...
PPP xmit, ifc = 0, Len: 14
   data: ff0380fd0304000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12


outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 8, ack 7,
   data: 3081880b000c4000000000080000000780fd0304000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 48, seq 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 38,
   data: ff038021010500220306000000008106000000008206...

PPP xmit, ifc = 0, Len: 14
   data: ff0380210101000a0306ac127c98

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 9, ack 8,
   data: 3081880b000c4000000000090000000880210101000a...
PPP xmit, ifc = 0, Len: 32
   data: ff0380210405001c8106000000008206000000008306..
.

Interface outside - PPTP xGRE: Out paket, PPP Len 30

outside PPTP: Sending xGRE pak to 161.44.17.104,
   Len 46, seq 10, ack 8,
   data: 3081880b001e40000000000a0000000880210405001c...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 9, ack 7

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380fd0201000a120601000020

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 10, ack 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380fd0106000a120601000020

PPP xmit, ifc = 0, Len: 14
   data: ff0380fd0206000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 11, ack 10,
   data: 3081880b000c40000000000b0000000a80fd0206000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 11, ack 9

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380210201000a0306ac127c98

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 12, ack 10

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380210107000a030600000000

PPP xmit, ifc = 0, Len: 14
   data: ff0380210307000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104,
   Len 28, seq 12, ack 12,
   data: 3081880b000c40000000000c0000000c80210307000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 24, seq 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
   data: ff0380210108000a030600000000

PPP xmit, ifc = 0, Len: 14
   data: ff0380210308000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 13, ack 13,
   data: 3081880b000c40000000000d0000000d80210308000a... 0
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 28, seq 14, ack 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
    data: ff0380210109000a0306c0a80101

PPP xmit, ifc = 0, Len: 14
   data: ff0380210209000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
   seq 14, ack 14,
   data: 3081880b000c40000000000e0000000e80210209000a... 2:
PPP virtual interface 1 - user: john aaa authentication started
603103: PPP virtual interface 1 -
   user: john aaa authentication succeed
109011: Authen Session Start: user 'joh
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 117, seq 15, ack 14

PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
    data: ff0300fd9000bccf59b71755d9af7330dae3bbc94d28...
PPP Encr/Comp Pkt: 9000bccf59b71755d9af7330dae3bbc94d28e431d057...
PPP IP Pkt: 4500006002bb000080117629c0a80101ffffffff0089...
n', sid 3
603104: PPTP Tunnel created, tunnel_id is 9,
   remote_peer_ip is 161.44.17.104
   ppp_virtual_interface_id is 1,
   client_dynamic_ip is 192.168.1.1
   username is john, MPPE_key_strength is 40 bits
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 113, seq 16

PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
    data: ff0300fd9001f8348351ef9024639ed113b43adfeb44...
PPP Encr/Comp Pkt: 9001f8348351ef9024639ed113b43adfeb4489af5ab3...
PPP IP Pkt: 4500006002bd000080117627c0a80101ffffffff0089...
ide

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   Len 113, seq 17

PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
    data: ff0300fd9002cc73cd65941744a1cf30318cc4b4b783...
PPP Encr/Comp Pkt: 9002cc73cd65941744a1cf30318cc4b4b783e825698a...
PPP IP Pkt: 4500006002bf000080117625c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 18

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd9003aaa545eaeeda0f82b5999e2fa9ba3245...
PPP Encr/Comp Pkt: 9003aaa545eaeeda0f82b5999e2fa9ba324585a1bc8d...
PPP IP Pkt: 4500006002c1000080117623c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 19
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd90045b35d080900ab4581e64706180e3540e...
PPP Encr/Comp Pkt: 90045b35d080900ab4581e64706180e3540ee15d664a...
PPP IP Pkt: 4500006002c3000080117621c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 20

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd90052878b256edbd17b42f2cb672ba80b40a...
PPP Encr/Comp Pkt: 90052878b256edbd17b42f2cb672ba80b40a79760cef...
PPP IP Pkt: 4500006002c500008011761fc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 21

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900632359a2c07e79106c5e282e3892e60de...
PPP Encr/Comp Pkt: 900632359a2c07e79106c5e282e3892e60ded6c6d4d1...
PPP IP Pkt: 4500006002c700008011761dc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 22

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd90070ca6ea48b2ad26987d52a4e109ca68b6...

PPP Encr/Comp Pkt: 90070ca6ea48b2ad26987d52a4e109ca68b6758569d3...
PPP IP Pkt: 4500006002c900008011761bc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 23

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd90085aba60edf57e50eea4d523596cb9d690...
PPP Encr/Comp Pkt: 90085aba60edf57e50eea4d523596cb9d69057715894...
PPP IP Pkt: 4500006002cb000080117619c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 24

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd90094b73b6c962272b60d32f135b5f29f2a5...
PPP Encr/Comp Pkt: 90094b73b6c962272b60d32f135b5f29f2a58bacd050...
PPP IP Pkt: 4500006002cc000080117618c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 345, seq 25

PPP rcvd, ifc = 0, pppdev: 1, len: 336,
    data: ff0300fd900a86307ed9537df5389ea09223d62c20fd...
PPP Encr/Comp Pkt: 900a86307ed9537df5389ea09223d62c20fd9e34072f...
PPP IP Pkt: 4500014802cf00008011752dc0a80101ffffffff0044...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 26

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900b45303a5fe7b2dc3f62db739b4bb1b802...
PPP Encr/Comp Pkt: 900b45303a5fe7b2dc3f62db739b4bb1b80253278fad...
PPP IP Pkt: 4500006002d1000080117613c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 27

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900ceb5aaaecc832df3c12bc6c519c25b4db...
PPP Encr/Comp Pkt: 900ceb5aaaecc832df3c12bc6c519c25b4dba569d161...
PPP IP Pkt: 4500006002d2000080117612c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 28

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900dbdaaf071c2bd1c92c1f56085813d1a77...
PPP Encr/Comp Pkt: 900dbdaaf071c2bd1c92c1f56085813d1a778cc61c29...
PPP IP Pkt: 4500006002d500008011760fc0a80101ffffffff0089...


outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 29

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900e97de47036d95a0721ef6b28479b8efde...
PPP Encr/Comp Pkt: 900e97de47036d95a0721ef6b28479b8efde8e16b398...
PPP IP Pkt: 4500006002d600008011760ec0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 30

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd900f75bf4c8cbcf11464bf52bd7f6155c7d6...
PPP Encr/Comp Pkt: 900f75bf4c8cbcf11464bf52bd7f6155c7d62ea2ca5e...
PPP IP Pkt: 4500006002d900008011760bc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 113, seq 31

PPP rcvd, ifc = 0, pppdev: 1, len: 104,
    data: ff0300fd9010f221e7ba169702765529e4ffa368dba5...
PPP Encr/Comp Pkt: 9010f221e7ba169702765529e4ffa368dba5610921ae...
PPP IP Pkt: 4500006002da00008011760ac0a80101ffffffff0089...
from (192.168.1.1) to 255.255.255.255 on interface outside

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 231, seq 32

PPP rcvd, ifc = 0, pppdev: 1, len: 222,
    data: ff0300fd9011c23a03921c1e10ccc38847cb8056fa93...
PPP Encr/Comp Pkt: 9011c23a03921c1e10ccc38847cb8056fa9387018912...
PPP IP Pkt: 450000d602dd000080117591c0a80101ffffffff008a...
side

outside PPTP: Recvd xGRE pak from 161.44.17.104,
   len 345, seq 33

PPP rcvd, ifc = 0, pppdev: 1, len: 336,
    data: ff0300fd90127d7213f35cd1d82d8988e28e0930ecc1...
PPP Encr/Comp Pkt: 90127d7213f35cd1d82d8988e28e0930ecc1614a993f...
PPP IP Pkt: 4500014802df00008011751dc0a80101ffffffff0044...

Qué puede salir mal

El PIX y el equipo PC no pueden negociar la autenticación

Los protocolos de autenticación de PC están establecidos para los que PIX no puede realizar (protocolo de autenticación de contraseñas Shiva (SPAP) y Microsoft CHAP, versión 2 (MS-CHAP v.2) en lugar de la versión 1). El equipo PC y PIX no pueden coincidir en la autenticación. El equipo PC muestra el mensaje siguiente:

Disconnected - Error 732: Your computer and the remote computer
    could not agree on PPP control protocols

PIX y el equipo PC no pueden negociar el cifrado

El equipo PC está establecido para sólo cifrado y el comando vpdn group 1 ppp encrypt mppe 40 required se ha eliminado de PIX. El equipo PC y PIX no pueden coincidir en el cifrado y el equipo PC muestra el mensaje siguiente:

Error 742 : The remote computer does not support the required
    data encryption type.

PIX y el equipo PC no pueden negociar el cifrado

PIX está establecido para vpdn group 1 ppp encrypt mppe 40 required y el equipo PC para no permitir el cifrado. Esto no produce ningún mensaje en el equipo PC, pero la sesión se desconecta y la depuración PIX muestra el resultado siguiente:

PPTP: Call id 8, no session id protocol: 21,
    reason: mppe required but not active, tunnel terminated
603104: PPTP Tunnel created, tunnel_id is 8,
    remote_peer_ip is 161.44.17.104
ppp_virtual_interface_id is 1, client_dynamic_ip is 192.168.1.1
username is cisco, MPPE_key_strength is None
603105: PPTP Tunnel deleted, tunnel_id = 8,
    remote_peer_ip = 161.44.17.104

Problema de PIX MPPE RADIUS

PIX está establecido para vpdn group 1 ppp encrypt mppe 40 required y el equipo PC para el cifrado permitido con la autenticación en un servidor RADIUS sin devolver la clave MPPE. El equipo PC muestra el mensaje siguiente:

Error 691: Access was denied because the username
    and/or password was invalid on the domain.

La depuración PIX muestra:

2: PPP virtual interface 1 -
   user: cisco  aaa authentication started
603103: PPP virtual interface 1 -
   user: cisco  aaa authentication failed
403110: PPP virtual interface 1,
   user: cisco missing MPPE key from aaa server
603104: PPTP Tunnel created,
   tunnel_id is 15,
   remote_peer_ip is 161.44.17.104
   ppp_virtual_interface_id is 1,
   client_dynamic_ip is 0.0.0.0
   username is Unknown,
   MPPE_key_strength is None
603105: PPTP Tunnel deleted,
   tunnel_id = 15,
   remote_peer_ip = 161.44.17.104

El equipo PC muestra el mensaje siguiente:

Error 691: Access was denied because the username
    and/or password was invalid on the domain.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 14096