Analytics and Automation Software : Устройства защиты Cisco PIX серии 500

Настройка брандмауэра PIX Cisco Secure для использования PPTP

21 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (18 декабря 2007) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Приемы настройки для брандмауэра PIX
Настройка функции PPTP на клиентских ПК
      Windows 98
      Windows 2000
      Windows NT
Настройка PIX
      Конфигурация PIX - локальная аутентификация с шифрованием
      Конфигурация PIX - аутентификация RADIUS с шифрованием
Настройка Cisco Secure ACS для Windows 3.0
      Аутентификация RADIUS с шифрованием
Проверка
      Команды show PIX (после аутентификации)
      Проверка клиентского ПК
Устранение неполадок
      Команды устранения неполадок
      Включение ведения журнала PPP на клиенте
      Другие проблемы, связанные с Microsoft
      Пример отладочных выходных данных
      Возможные проблемы
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

Point-to-Point Tunneling Protocol (PPTP) - это протокол туннелирования уровня 2, который разрешает удаленному клиенту использовать публичную IP-сеть для безопасной связи с серверами в частной корпоративной сети. PPTP является туннелем для IP. PPTP описывается в RFC 2637 leavingcisco.com. Поддержка PPTP в брандмауэре PIX была добавлена в программном обеспечении PIX, релизе 5.1. В документации PIX дается больше сведений о PPTP и его использовании с PIX. Этот документ описывает настройку PIX для использования PPTP с локальной аутентификацией, TACACS+ и RADIUS. В документе также даны приемы и примеры, которые могут помочь при разрешении часто возникающих проблем.

Этот документ также показывает, как настраивать соединения PPTP к PIX. Чтобы настроить PIX или ASA для разрешения PPTP через устройство безопасности, обратитесь к "Разрешение соединений PPTP через PIX".

Чтобы настроить брандмауэр PIX и клиент VPN для использования с сервером IAS RADIUS для Windows 2000 и 2003, обратитесь к "Cisco Secure PIX Firewall 6.x и Cisco VPN Client 3.5 for Windows с сервером аутентификации Microsoft Windows 2000 и 2003 IAS RADIUS".

Примечание: в терминологии PPTP, согласно RFC, сетевой сервер PPTP (PNS) является сервером (в данном случае, PIX, или вызываемым), а концентратор доступа PPTP (PAC) – клиентом (компьютером, вызывающим).

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются программного обеспечения Cisco IOS версии 6.2(1) and 6.3(3).

Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в статье "Технические советы Cisco. Условные обозначения".

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание: для поиска дополнительной информации о командах в данном документе используйте Command Lookup Tool (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети.

pptppix.gif

Приемы настройки для брандмауэра PIX

Тип аутентификации - CHAP, PAP, MS-CHAP

PIX, настроенный одновременно для всех трех методов аутентификации (CHAP, PAP, MS-CHAP), дает наибольшие шансы для установления соединения, вне зависимости от того, как настроен ПК. Это хорошая идея для устранения неисправностей.

vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp authentication pap

Microsoft Point-to-Point Encryption (MPPE)

используйте синтаксис этой команды для настройки шифрования MPPE на брандмауэре PIX.

vpdn group 1 ppp encryption mppe 40|128|auto [required]

В этой команде required является необязательным ключевым словом. Должен быть настроен MS-CHAP.

Настройка функции PPTP на клиентских ПК

Примечание: предоставленная здесь информация о конфигурациях, связанных с программным обеспечением Microsoft, не сопровождается никакой гарантией или поддержкой программного обеспечения Microsoft. Поддержка программного обеспечения Microsoft предоставляется Microsoft на веб-сайте поддержки Microsoft leavingcisco.com.

Windows 98

Выполните эти шаги для установки функции РРТР в Windows 98.

  1. Выберите Start > Settings > Control Panel > Add New Hardware. Нажмите кнопку Next.

  2. Нажмите на Select from List и выберите Network Adapter. Нажмите кнопку Next.

  3. На левой панели выберите Microsoft, а на правой Microsoft VPN Adapter.

Чтобы настроить функцию PPTP, выполните следующие шаги.

  1. Выберите Start > Programs > Accessories > Communications > Dial Up Networking.

  2. Нажмите на Make new connection. В пункте Select a device выберите Microsoft VPN Adapter. IP-адрес VPN-сервера является конечной точкой туннеля c межсетевым экраном PIX.

  3. Аутентификация по умолчанию Windows 98 использует шифрование пароля (CHAP или MS-CHAP). Чтобы настроить в ПК разрешение PAP, выберите Properties > Server types. Снимите флажок Require encrypted password. В этой области можно настроить шифрование данных (с использованием MPPE или без MPPE).

Windows 2000

Выполните эти шаги для установки функции РРТР в Windows 2000.

  1. Выберите Start > Programs > Accessories > Communications > Network & Dialup connections.

  2. Нажмите на Make new connection, затем на Next.

  3. Выберите Connect to a private network through the Internet и Dial a connection prior (если не используется LAN). Нажмите на Next.

  4. Введите имя узла или IP-адрес конечной точки туннеля (PIX/маршрутизатор).

  5. Если требуется изменить тип пароля, выберите Properties > Security for the connection > Advanced. По умолчанию используется MS-CHAP и MS-CHAP v2 (а не CHAP или PAP). В этой области можно настроить шифрование данных (с использованием MPPE или без MPPE).

Windows NT

Для настройки клиентов NT для PPTP см. "Установка, настройка и использование PPTP с клиентами и серверами Microsoft" leavingcisco.com.

Настройка PIX

Конфигурация PIX – локальная аутентификация, без шифрования

PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 pix/intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PIX
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit ip 10.1.1.0 255.255.255.0 
   192.168.1.0 255.255.255.0 
pager lines 24
logging on
no logging timestamp
no logging standby
no logging console
no logging monitor
logging trap debugging
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 10baset
mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 172.18.124.152 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address pix/intf2 127.0.0.1 255.255.255.255
ip local pool pptp-pool 192.168.1.1-192.168.1.50
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address pix/intf2 0.0.0.0
arp timeout 14400
global (outside) 1 172.18.124.201-172.18.124.202
nat (inside) 0 access-list 101
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
conduit permit icmp any any 
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
isakmp identity hostname
telnet timeout 5
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication local
vpdn username cisco password cisco
vpdn enable outside
terminal width 80
Cryptochecksum:a72d9f71d1a31332307fcd348e02410d
: end

Конфигурация PIX Configuration - локальная аутентификация с шифрованием

При добавлении этой команды в конфигурацию PIX с локальной аутентификацией и без шифрования ПК и PIX производят автосогласование шифрования (40-битное или нет) на основании настроек ПК.

vpdn group 1 ppp encryption mppe auto

Если у PIX включена функция 3DES, команда show version показывает следующее сообщение.

  • Версия 6.3 и более поздние:

    VPN-3DES-AES: Enabled
  • Версия 6.2 и более ранние:

    VPN-3DES: Enabled

Можно также использовать 128-битное шифрование. Однако если отображается одно из следующих сообщений, 128-битное шифрование в PIX невозможно.

  • Версия 6.3 и более поздние:

    Warning: VPN-3DES-AES license is required
    for 128 bits MPPE encryption
  • Версия 6.2 и более ранние:

    Warning: VPN-3DES license is required
    for 128 bits MPPE encryption

Далее приводится синтаксис команды MPPE.

vpdn group ppp encryption mppe 40|128|auto [required]

ПК и PIX должны быть настроены на выполнение аутентификации MS-CHAP совместно с MPPE.

Конфигурация PIX – аутентификация TACACS+/RADIUS без шифрования

PIX Version 6.2(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 pix/intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd OnTrBUG1Tp0edmkr encrypted
hostname PIX
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list 101 permit ip 10.1.1.0 255.255.255.0 
   192.168.1.0 255.255.255.0
pager lines 24
logging on
logging timestamp
no logging standby
logging console debugging
no logging monitor
logging buffered debugging
logging trap debugging
no logging history
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 10baset
mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 172.18.124.152 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address pix/intf2 127.0.0.1 255.255.255.255
ip local pool pptp-pool 192.168.1.1-192.168.1.50
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address pix/intf2 0.0.0.0
arp timeout 14400
global (outside) 1 172.18.124.201-172.18.124.202
nat (inside) 0 access-list 101
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 172.18.124.1 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius

!--- Использовать в этой инструкции или RADIUS, или TACACS+.

aaa-server AuthInbound protocol radius | tacacs+
aaa-server AuthInbound (outside) host 172.18.124.99 cisco timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
isakmp identity address
telnet 10.1.1.5 255.255.255.255 inside
telnet 10.1.1.5 255.255.255.255 pix/intf2
telnet timeout 5
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn group 1 client authentication aaa AuthInbound
vpdn enable outside
terminal width 80
Cryptochecksum:96e9c93cb0a6ad6f53581dd7b61ac763
: end
[OK]

Конфигурация PIX - аутентификация RADIUS с шифрованием

Если используется RADIUS и сервер RADIUS (заданный поставщиком атрибут 26, поставщик Microsoft) поддерживает манипуляции MPPE, может быть добавлено шифрование MPPE. Аутентификация TACACS+ не поддерживает шифрование, потому что серверы TACACS+ не способны возвращать специальные ключи MPPE. Cisco Secure ACS для Windows 2.5 и более поздние RADIUS не поддерживают MPPE (все серверы RADIUS не поддерживают MPPE).

С допущением, что аутентификация RADIUS работает без шифрования, добавьте шифрование, включив следующую команду в предыдущую конфигурацию:

vpdn group 1 ppp encryption mppe auto

ПК и PIX производят автосогласование шифрования (40-битное или нет) на основании настроек ПК.

Если у PIX включена функция 3DES, команда show version выводит следующее сообщение.

VPN-3DES: Enabled

Можно также использовать 128-битное шифрование. Однако если отображается следующее сообщение, 128-битное шифрование в PIX невозможно.

Warning: VPN-3DES license is required 
for 128 bits MPPE encryption 

Далее приводится синтаксис для команды MPPE.

vpdn group ppp encryption mppe 40|128|auto [required]

ПК и PIX должны быть настроены на выполнение аутентификации MS-CHAP совместно с MPPE.

Настройка Cisco Secure ACS для Windows 3.0

Аутентификация RADIUS с шифрованием

Следуйте этим шагам для настройки Cisco Secure ACS для Windows версии 3.0. Те же самые этапы настройки применимы для ACS версий 3.1 и 3.2.

  1. Добавьте PIX в Cisco Secure ACS для Network Configuration сервера Windows и укажите тип словаря RADIUS (Cisco IOS/PIX).

    pptppix_01.gif

  2. Откройте Interface Configuration > RADIUS (Microsoft) и установите флажки на атрибутах MPPE, чтобы они появились в интерфейсе группы.

    pptppix_02.gif

  3. Добавьте пользователя. В группе пользователя добавьте атрибуты MPPE [RADIUS (Microsoft)]. Для шифрования следует включить эти атрибуты, но они являются необязательными, когда PIX не настроен для шифрования.

    pptppix_03.gif

Проверка

В данном разделе содержатся сведения о проверке работы конфигурации.

Команды show PIX (после аутентификации)

Средство Output Interpreter Tool (только для зарегистрированных заказчиков) (OIT) поддерживает отдельные команды show. Это позволяет просмотреть анализ выходных данных команды show.

Команда show vpdn выводит информацию о туннелях и сеансах.

PIX#show vpdn 

PPTP Tunnel and Session Information (Total tunnels=1 sessions=1)

Tunnel id 13, remote id is 13, 1 active sessions
  Tunnel state is estabd, time since event change 24 secs
  remote   Internet Address 161.44.17.104, port 1723
  Local    Internet Address 172.18.124.152, port 1723
  12 packets sent, 35 received, 394 bytes sent, 3469 received

Call id 13 is up on tunnel id 13
Remote Internet Address is 161.44.17.104
  Session username is cisco, state is estabd
    Time since event change 24 secs, interface outside
    Remote call id is 32768
    PPP interface id is 1
    12 packets sent, 35 received, 394 bytes sent, 3469 received
    Seq 13, Ack 34, Ack_Rcvd 12, peer RWS 64
    0 out of order packets

Проверка клиентского ПК

В окне MS-DOS или из окна Run введите ipconfig /all. Эти данные выводит часть адаптера PPP.

PPP adapter pptp:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Physical Address. . . . . . . . . : 00-53-45-00-00-00
        DHCP Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.1.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.255
        Default Gateway . . . . . . . . . : 192.168.1.1
        DNS Servers . . . . . . . . . . . :

Можно также нажать Details для просмотра сведений в соединении PPTP.

Устранение неполадок

В данном разделе описывается процесс устранения неполадок конфигурации.

  • Для общей инкапсуляции маршрутов (GRE) и TCP 1723 должно существовать соединение из ПК в конечную точку туннеля PIX. Есть если вероятность, что оно заблокировано брандмауэром или списком доступа, передвиньте ПК ближе к PIX.

  • Наиболее легко установить PPTP в Windows 98 и Windows 2000. При возникновении сомнений попытайтесь повторить операцию на разных компьютерах и операционных системах. После установления соединения нажмите на Details на ПК для отображения информации о соединении. Например, данных о том, используете ли вы PAP, CHAP, IP, шифрование и т.д.

  • Если вы намерены использовать RADIUS и/или TACACS+, сначала попытайтесь настроить локальную аутентификацию (имя пользователя и пароль на PIX). Если она не работает, не будет работать и аутентификация сервером RADIUS или TACACS+.

  • Сначала убедитесь, что настройки безопасности на ПК разрешают максимально возможное число типов аутентификации (PAP, CHAP, MS-CHAP) и снимите флажок Require data encryption (сделайте этот параметр необязательным как для PIX, так и для ПК).

  • Поскольку тип аутентификации согласован, настройте PIX с максимальным числом возможностей. Например, если ПК настроен только для MS-CHAP, а маршрутизатор только для PAP, они никогда не будут работать вместе.

  • Если PIX действует как сервер PPTP для двух разных расположений, и каждое расположение имеет собственный сервер RADIUS, использование единого PIX для обоих расположений, обслуживаемых их собственными серверами RADIUS, не поддерживается.

  • Некоторые серверы RADIUS не поддерживают MPPE. Если сервер RADIUS не поддерживает манипуляции MPPE, аутентификация RADIUS будет работать, а шифрование MPPE - нет.

  • В операционной системе Windows 98 или более поздней версии при использовании аутентификации PAP или CHAP имя пользователя, отправляемое на PIX, совпадает с тем, которое было введено в настройках модемного подключения. Однако при использовании MS-CHAP имя домена может быть добавлено к имени пользователя, в его начало, например:

    • Имя пользователя, введенное в DUN - "cisco"

    • Домен, установленный в окне Windows 98 - "DOMAIN"

    • Имя пользователя MS-CHAP, отправленное PIX - "DOMAIN\cisco"

    • Имя пользователя в PIX - "cisco"

    • Результат: недействительное имя пользователя/пароль

    Фрагмент журнала PPP из ПК с Windows 98, иллюстрирующий данную ситуацию.

    02-01-2001 08:32:06.78 - Data 0038: 49 53 4c 41 42 5c 63 69 | DOMAIN\ci
    02-01-2001 08:32:06.78 - Data 0040: 73 63 6f 00 00 00 00 00 | sco.....
    |
    |
    02-01-2001 08:32:06.80 - Data 0000: c2 23 04 01 00 1a 41 75 | .#...^ZAu
    02-01-2001 08:32:06.80 - Data 0008: 74 68 65 6e 74 69 63 61 | thentica
    02-01-2001 08:32:06.80 - Data 0010: 74 69 6f 6e 20 66 61 69 | tion fai
    02-01-2001 08:32:06.80 - Data 0018: 6c 65 64 2e 00 00 00 00 | led.....
    02-01-2001 08:32:06.80 - CHAP : Login failed: username, password,
       or domain was incorrect.

    При использовании Windows 98 и MS-CHAP к PIX, кроме имени пользователя без домена, вы можете добавить "DOMAIN\username":

    vpdn username cisco password cisco
    vpdn username DOMAIN\cisco password cisco
    

    Примечание: тот же прием применим при проведении удаленной аутентификации на сервере AAA.

Команды устранения неполадок

Сведения об ожидаемой последовательности событий PPTP даны в RFC 2637 для PPTP leavingcisco.com. В PIX важные события в правильной последовательности PPTP показывают:

SCCRQ (Start-Control-Connection-Request)
SCCRP (Start-Control-Connection-Reply)
OCRQ (Outgoing-Call-Request)
OCRP (Outgoing-Call-Reply)

Примечание: прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

Команды PIX debug

  • debug ppp io — показывает информацию о пакетах данных для виртуального интерфейса PPTP PPP.

  • debug ppp error — показывает ошибки протокола и статистику ошибок, связанную с работой и согласованием соединения PPP.

  • debug vpdn error — показывает ошибки, препятствующие установлению туннеля PPP, или ошибки, вызывающие закрытие установленного туннеля.

  • debug vpdn packet — отображает ошибки и события L2TP, которые сопровождают нормальную установку туннеля или завершение VPDN.

  • debug vpdn events — показывает сообщения о событиях, свидетельствующих о нормальном ходе установления или закрытия туннеля PPP.

  • debug ppp uauth — показывает сообщения отладки аутентификации пользователей ААА виртуального интерфейса PPTP PPP.

Команды PIX clear

Эти команды должны задаваться в режиме конфигурации.

  • clear vpdn tunnel [all | [id tunnel_id]] — удаляет из конфигурации один или более туннелей PPTP.

caution Внимание: не используйте команду clear vpdn. Она удаляет все команды vpdn.

Включение ведения журнала PPP на клиенте

Следуйте данным инструкциям для включения отладки PPP в различных операционных системах Windows и Microsoft.

Windows 95

Выполните эти шаги для включения ведения журнала PPP в Windows 95.

  1. В разделе Network на панели управления нажмите два раза на Microsoft Dial-Up Adapter в списке установленных компонентов сети.

  2. Откройте вкладку Advanced. В списке Property нажмите на параметр Record A Log File, а в списке Value - на Yes. Затем нажмите на OK.

  3. Чтобы данный параметр вступил в силу, выключите и перезагрузите компьютер. Журнал сохранен в файле ppplog.txt.

Windows 98

Выполните эти шаги для включения ведения журнала РРР в Windows 98.

  1. В меню Dial-Up Networking нажмите один раз на значок соединения и затем выберите File > Properties.

  2. Откройте вкладку Server Types.

  3. Выберите параметр Record a log file for this connection. Файл журнала находится в C:\Windows\ppplog.txt

Windows 2000

Чтобы включить журнал PPP в Windows 2000 обратитесь к сайту "Справка и поддержка Microsoft" leavingcisco.com и найдите документ "Включение ведения журнала PPP в Windows" ("Enable PPP Logging in Windows").

Windows NT

Выполните эти шаги для включения ведения журнала РРР в Windows NT.

  1. Найдите ключ SYSTEM\CurrentControlSet\Services\RasMan\PPP и измените Logging с 0 на 1. Это создаст файл под названием PPP.LOG в каталоге <winnt root>\SYSTEM32\RAS directory.

  2. Чтобы провести отладку сеанса PPP, сначала включите ведение журнала и затем инициируйте соединение PPP. Если во время соединения произошла ошибка или оно прервалось, сведения об этом можно посмотреть в PPP.LOG.

Подробнее см. "Справка и поддержка Microsoft" leavingcisco.com, документ "Включение ведения журнала PPP в Windows NT" ("Enabling PPP Logging in Windows NT").

Другие проблемы, связанные с Microsoft

Ниже перечислены некоторые проблемы, связанные с использованием продуктов Microsoft, которые необходимо учитывать при устранении неполадок PPTP. Подробнее см. "Базу знаний Microsoft" по приведенным ниже ссылкам.

Пример отладочных выходных данных

Отладка PIX - локальная аутентификация

Важные события выделены в этих выходных данных курсивом.

PPTP: new peer fd is 1

Tnl 42 PPTP: Tunnel created; peer initiated PPTP: 
   created tunnel, id = 42

PPTP: cc rcvdata, socket fd=1, new_conn: 1
PPTP: cc rcv 156 bytes of data

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 & 10 = 0001

Tnl 42 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 42 PPTP: CC I SCCRQ
Tnl 42 PPTP: protocol version 0x100
Tnl 42 PPTP: framing caps 0x1
Tnl 42 PPTP: bearer caps 0x1
Tnl 42 PPTP: max channels 0
Tnl 42 PPTP: firmware rev 0x0
Tnl 42 PPTP: hostname "local"
Tnl 42 PPTP: vendor "9x"
Tnl 42 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd

SCCRP = Start-Control-Connection-Reply - 
   message code bytes 9 & 10 = 0002

Tnl 42 PPTP: CC O SCCRP
PPTP: cc snddata, socket fd=1, len=156, 
    data: 009c00011a2b3c4d0002000001000100000000030000...

PPTP: cc waiting for input, max soc FD = 1

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data

OCRQ = Outgoing-Call-Request - 
   message code bytes 9 & 10 = 0007

Tnl 42 PPTP: CC I 00a800011a2b3c4d00070000000000000000dac00000...
Tnl 42 PPTP: CC I OCRQ
Tnl 42 PPTP: call id 0x0
Tnl 42 PPTP: serial num 0
Tnl 42 PPTP: min bps 56000:0xdac0
Tnl 42 PPTP: max bps 64000:0xfa00
Tnl 42 PPTP: bearer type 3
Tnl 42 PPTP: framing type 3
Tnl 42 PPTP: recv win size 16
Tnl 42 PPTP: ppd 0
Tnl 42 PPTP: phone num Len 0
Tnl 42 PPTP: phone num ""
Tnl/Cl 42/42 PPTP: l2x store session: tunnel id 42, 
   session id 42, hash_ix=42
PPP virtual access open, ifc = 0

Tnl/Cl 42/42 PPTP: vacc-ok -> state change wt-vacc to estabd

OCRP = Outgoing-Call-Reply - 
   message code bytes 9 & 10 = 0008

Tnl/Cl 42/42 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32, 
   data: 002000011a2b3c4d00080000002a00000100000000fa...

!--- Отладка после данного события представляет собой поток пакетов.

PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 27, 
    data: ff03c021010100170206000a00000506001137210702...

PPP xmit, ifc = 0, Len: 23 data: 
    ff03c021010100130305c22380050609894ab407020802

Interface outside - PPTP xGRE: Out paket, PPP Len 23

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 39, 
   seq 1, ack 1, 
   data: 3081880b001700000000000100000001ff03c0210101... 
PPP xmit, ifc = 0, Len: 17 
   data: ff03c0210401000d0206000a00000d0306

Interface outside - PPTP xGRE: Out paket, PPP Len 17

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33, 
   seq 2, ack 1, 
   data: 3081880b001100000000000200000001ff03c0210401... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 2, ack 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 23, 
    data: ff03c021020100130305c22380050609894ab407020802

outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 34, seq 3, ack 2

PPP rcvd, ifc = 0, pppdev: 1, Len: 18, 
    data: ff03c0210102000e05060011372107020802

PPP xmit, ifc = 0, Len: 18 
   data: ff03c0210202000e05060011372107020802

Interface outside - PPTP xGRE: Out paket, PPP Len 18

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 34, 
   seq 3, ack 3, 
   data: 3081880b001200000000000300000003ff03c0210202... 
PPP xmit, ifc = 0, Len: 17 
   data: ff03c2230101000d08d36602863630eca8

Interface outside - PPTP xGRE: Out paket, PPP Len 15

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 31, 
   seq 4, ack 3, 
   data: 3081880b000f00000000000400000003c2230101000d... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 76, seq 4, ack 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 62, 
   data: ff03c2230201003a31d4d0a397a064668bb00d954a85...

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22, 
   seq 5, ack 4, 
   data: 3081880b000600000000000500000004c22303010004 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 58, seq 5, ack 5

PPP rcvd, ifc = 0, pppdev: 1, Len: 44, 
    data: ff038021010100280206002d0f010306000000008106...

PPP xmit, ifc = 0, Len: 14 data: ff0380210101000a030663636302

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28, 
   seq 6, ack 5, 
   data: 3081880b000c0000000000060000000580210101000a... 
PPP xmit, ifc = 0, Len: 38 
    data: ff038021040100220206002d0f018106000000008206...

Interface outside - PPTP xGRE: Out paket, PPP Len 36

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 52, 
   seq 7, ack 5, 
   data: 3081880b002400000000000700000005802104010022... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 29, seq 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 19, 
    data: ff0380fd0101000f1206010000011105000104

PPP xmit, ifc = 0, Len: 8 data: ff0380fd01010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22, 
   seq 8, ack 6, 
   data: 3081880b00060000000000080000000680fd01010004 
PPP xmit, ifc = 0, Len: 19 
   data: ff0380fd0401000f1206010000011105000104

Interface outside - PPTP xGRE: Out paket, PPP Len 17

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33, 
   seq 9, ack 6, 
   data: 3081880b00110000000000090000000680fd0401000f... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 28, seq 7, ack 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
    data: ff0380210201000a030663636302

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 22, seq 8, ack 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 8, 
   data: ff0380fd02010004

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 22, seq 9, ack 9

PPP rcvd, ifc = 0, pppdev: 1, Len: 8, 
   data: ff0380fd01020004

PPP xmit, ifc = 0, Len: 8 data: ff0380fd02020004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22, 
   seq 10, ack 9, 
   data: 3081880b000600000000000a0000000980fd02020004 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 22, seq 10, ack 10

PPP rcvd, ifc = 0, pppdev: 1, Len: 8, 
   data: ff0380fd05030004

PPP xmit, ifc = 0, Len: 8 data: ff0380fd06030004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22, 
   seq 11, ack 10, 
   data: 3081880b000600000000000b0000000a80fd06030004 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 48, seq 11

PPP rcvd, ifc = 0, pppdev: 1, Len: 38, 
   data: ff038021010200220306000000008106000000008206...

PPP xmit, ifc = 0, Len: 32 
   data: ff0380210402001c8106000000008206000000008306...

Interface outside - PPTP xGRE: Out paket, PPP Len 30

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 46, 
   seq 12, ack 11, 
   data: 3081880b001e00000000000c0000000b80210402001c... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 28, seq 12, ack 12

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
    data: ff0380210103000a030600000000

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210303000a0306ac100101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28, 
   seq 13, ack 12, 
   data: 3081880b000c00000000000d0000000c80210303000a... 
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 28, seq 13, ack 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380210104000a0306ac100101

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210204000a0306ac100101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28, 
   seq 14, ack 13, 
   data: 3081880b000c00000000000e0000000d80210204000a...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 41, seq 14

PPP rcvd, ifc = 0, pppdev: 1, Len: 32, 
    data: ff0300214500001cc80000008001e5ccac100101e000...
PPP IP Pkt: 4500001cc80000008001e5ccac100101e00000020a00...
603104: PPTP Tunnel created, tunnel_id is 42, 
   remote_peer_ip is 99.99.99.5
   ppp_virtual_interface_id is 1, 
   client_dynamic_ip is 172.16.1.1
   username is john, MPPE_key_strength is None

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 15

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060ca0000008011176bac100101ac10...
PPP IP Pkt: 45000060ca0000008011176bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 16

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060cb0000008011166bac100101ac10...
PPP IP Pkt: 45000060cb0000008011166bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 17

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060cc0000008011156bac100101ac10...
PPP IP Pkt: 45000060cc0000008011156bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 18

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060d00000008011116bac100101ac10...
PPP IP Pkt: 45000060d00000008011116bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 19

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060d200000080110f6bac100101ac10...
PPP IP Pkt: 45000060d200000080110f6bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 20

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060d300000080110e6bac100101ac10...
PPP IP Pkt: 45000060d300000080110e6bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 41, seq 21

PPP rcvd, ifc = 0, pppdev: 1, Len: 32, 
    data: ff0300214500001cd60000008001d7ccac100101e000...
PPP IP Pkt: 4500001cd60000008001d7ccac100101e00000020a00...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 22

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060d80000008011096bac100101ac10...
PPP IP Pkt: 45000060d80000008011096bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 23

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060da0000008011076bac100101ac10...
PPP IP Pkt: 45000060da0000008011076bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 24

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060db0000008011066bac100101ac10...
PPP IP Pkt: 45000060db0000008011066bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 25

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060de0000008011036bac100101ac10...
PPP IP Pkt: 45000060de0000008011036bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 26

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060e00000008011016bac100101ac10...
PPP IP Pkt: 45000060e00000008011016bac100101ac10ffff0089...

outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 109, seq 27

PPP rcvd, ifc = 0, pppdev: 1, Len: 100, 
    data: ff03002145000060e10000008011006bac100101ac10...
PPP IP Pkt: 45000060e10000008011006bac100101ac10ffff0089...
inside:172.16.255.255/137
outside PPTP: Recvd xGRE pak from 99.99.99.5, 
   Len 41, seq 28

PPP rcvd, ifc = 0, pppdev: 1, Len: 32, 
    data: ff0300214500001ce40000008001c9ccac100101e000...
PPP IP Pkt: 4500001ce40000008001c9ccac100101e00000020a00...

Отладка PIX - аутентификация RADIUS

Важные события выделены в этих выходных данных курсивом.

PIX#terminal monitor
PIX# 106011: Deny inbound (No xlate) icmp src 
   outside:172.17.194.164 dst 
   outside:172.18.124.201 (type 8, code 0)
106011: Deny inbound (No xlate) icmp src 
   outside:172.17.194.164 DST 
   outside:172.18.124.201 (type 8, code 0)

PIX#
PPTP: soc select returns rd mask = 0x1
PPTP: new peer FD is 1

Tnl 9 PPTP: Tunnel created; peer initiatedPPTP: 
   created tunnel, id = 9

PPTP: cc rcvdata, socket FD=1, new_conn: 1
PPTP: cc rcv 156 bytes of data

SCCRQ = Start-Control-Connection-Request - 
   message code bytes 9 & 10 = 0001

Tnl 9 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 9 PPTP: CC I SCCRQ
Tnl 9 PPTP: protocol version 0x100
Tnl 9 PPTP: framing caps 0x1
Tnl 9 PPTP: bearer caps 0x1
Tnl 9 PPTP: max channels 0
Tnl 9 PPTP: firmware rev 0x870
Tnl 9 PPTP: hostname ""
Tnl 9 PPTP: vendor "Microsoft Windows NT"
Tnl 9 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd

SCCRP = Start-Control-Connection-Reply - 
   message code bytes 9 & 10 = 0002

Tnl 9 PPTP: CC O SCCRP
PPTP: cc snddata, socket FD=1, Len=156, 
    data: 009c00011a2b3c4d0002000001000100000000030000...

PPTP: cc waiting for input, max soc FD = 1

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data

OCRQ = Outgoing-Call-Request - 
   message code bytes 9 & 10 = 0007

Tnl 9 PPTP: CC I 00a800011a2b3c4d000700004000e4f50000012c05f5...
Tnl 9 PPTP: CC I OCRQ
Tnl 9 PPTP: call id 0x4000
Tnl 9 PPTP: serial num 58613
Tnl 9 PPTP: min bps 300:0x12c
Tnl 9 PPTP: max BPS 100000000:0x5f5e100
Tnl 9 PPTP: bearer type 3
Tnl 9 PPTP: framing type 3
Tnl 9 PPTP: recv win size 64
Tnl 9 PPTP: ppd 0
Tnl 9 PPTP: phone num Len 0
Tnl 9 PPTP: phone num ""
Tnl/Cl 9/9 PPTP: l2x store session: tunnel id 9, 
   session id 9, hash_ix=9
PPP virtual access open, ifc = 0

Tnl/CL 9/9 PPTP: vacc-ok -> state change wt-vacc to estabd

OCRP = Outgoing-Call-Reply - 
   message code bytes 9 & 10 = 0008

Tnl/CL 9/9 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32, 
    data: 002000011a2b3c4d00080000000940000100000000fa...


PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 60, seq 0

PPP rcvd, ifc = 0, pppdev: 1, Len: 48, 
    data: ff03c0210100002c0506447e217e070208020d030611...

PPP xmit, ifc = 0, Len: 23 
    data: ff03c021010100130305c2238005065a899b2307020802

Interface outside - PPTP xGRE: Out paket, PPP Len 23

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 39, 
   seq 1, ack 0, 
   data: 3081880b001740000000000100000000ff03c0210101...
PPP xmit, ifc = 0, Len: 38 
    data: ff03c021040000220d03061104064e131701beb613cb..
.

Interface outside - PPTP xGRE: Out paket, PPP Len 38

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 54, 
   seq 2, ack 0, 
   data: 3081880b002640000000000200000000ff03c0210400...
PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data

Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000ffffffffffff...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 39, seq 1, ack 1

PPP rcvd, ifc = 0, pppdev: 1, Len: 23, 
    data: ff03c021020100130305c2238005065a899b2307020802

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 34, seq 2, ack 2

PPP rcvd, ifc = 0, pppdev: 1, Len: 18, 
    data: ff03c0210101000e0506447e217e07020802

PPP xmit, ifc = 0, Len: 18 
    data: ff03c0210201000e0506447e217e07020802

Interface outside - PPTP xGRE: Out paket, PPP Len 18


outside PPTP: Sending xGRE pak to 161.44.17.104, Len 34, 
   seq 3, ack 2, 
   data: 3081880b001240000000000300000002ff03c0210201...
PPP xmit, ifc = 0, Len: 17 
   data: ff03c2230101000d08f3686cc47e37ce67

Interface outside - PPTP xGRE: Out paket, PPP Len 15

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 31, 
   seq 4, ack 2, 
   data: 3081880b000f40000000000400000002c2230101000d...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 36, seq 3, ack 3

PPP rcvd, ifc = 0, pppdev: 1, Len: 22, 
    data: ff03c0210c020012447e217e4d5352415356352e3030

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 45, seq 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 35, 
    data: ff03c0210c03001f447e217e4d535241532d312d4349...

PPTP: soc select returns rd mask = 0x2

PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data

Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000000000000000...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 76, seq 5, ack 4

PPP rcvd, ifc = 0, pppdev: 1, Len: 62, 
    data: ff03c2230201003a3100000000000000000000000000...

uauth_mschap_send_req: pppdev=1, ulen=4, user=john
6031
uauth_mschap_proc_reply: pppdev = 1, status = 1

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 161.44.17.104, 
   Len 22, seq 5, ack 5, 
   data: 3081880b000640000000000500000005c22303010004
CHAP peer authentication succeeded for john

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 72, seq 6

PPP rcvd, ifc = 0, pppdev: 1, Len: 62, 
    data: ff03c2230201003a3100000000000000000000000000...

PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004

Interface outside - PPTP xGRE: Out paket, PPP Len 6

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 22, 
   seq 6, ack 6, 
   data: 3081880b000640000000000600000006c22303010004
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 7, ack 5

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
    data: ff0380fd0104000a120601000001

PPP xmit, ifc = 0, Len: 14 
   data: ff0380fd0101000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 7, ack 7, 
   data: 3081880b000c4000000000070000000780fd0101000a...
PPP xmit, ifc = 0, Len: 14 
   data: ff0380fd0304000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12


outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 8, ack 7, 
   data: 3081880b000c4000000000080000000780fd0304000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 48, seq 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 38, 
   data: ff038021010500220306000000008106000000008206...

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210101000a0306ac127c98

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 9, ack 8, 
   data: 3081880b000c4000000000090000000880210101000a...
PPP xmit, ifc = 0, Len: 32 
   data: ff0380210405001c8106000000008206000000008306..
.

Interface outside - PPTP xGRE: Out paket, PPP Len 30

outside PPTP: Sending xGRE pak to 161.44.17.104, 
   Len 46, seq 10, ack 8, 
   data: 3081880b001e40000000000a0000000880210405001c...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 9, ack 7

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380fd0201000a120601000020

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 10, ack 8

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380fd0106000a120601000020

PPP xmit, ifc = 0, Len: 14 
   data: ff0380fd0206000a120601000020

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 11, ack 10, 
   data: 3081880b000c40000000000b0000000a80fd0206000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 11, ack 9

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380210201000a0306ac127c98

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 12, ack 10

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380210107000a030600000000

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210307000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, 
   Len 28, seq 12, ack 12, 
   data: 3081880b000c40000000000c0000000c80210307000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 24, seq 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
   data: ff0380210108000a030600000000

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210308000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 13, ack 13, 
   data: 3081880b000c40000000000d0000000d80210308000a... 0
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 28, seq 14, ack 13

PPP rcvd, ifc = 0, pppdev: 1, Len: 14, 
    data: ff0380210109000a0306c0a80101

PPP xmit, ifc = 0, Len: 14 
   data: ff0380210209000a0306c0a80101

Interface outside - PPTP xGRE: Out paket, PPP Len 12

outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28, 
   seq 14, ack 14, 
   data: 3081880b000c40000000000e0000000e80210209000a... 2: 
PPP virtual interface 1 - user: john aaa authentication started
603103: PPP virtual interface 1 - 
   user: john aaa authentication succeed
109011: Authen Session Start: user 'joh
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 117, seq 15, ack 14

PPP rcvd, ifc = 0, pppdev: 1, Len: 104, 
    data: ff0300fd9000bccf59b71755d9af7330dae3bbc94d28...
PPP Encr/Comp Pkt: 9000bccf59b71755d9af7330dae3bbc94d28e431d057...
PPP IP Pkt: 4500006002bb000080117629c0a80101ffffffff0089...
n', sid 3
603104: PPTP Tunnel created, tunnel_id is 9, 
   remote_peer_ip is 161.44.17.104
   ppp_virtual_interface_id is 1, 
   client_dynamic_ip is 192.168.1.1
   username is john, MPPE_key_strength is 40 bits
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 113, seq 16

PPP rcvd, ifc = 0, pppdev: 1, Len: 104, 
    data: ff0300fd9001f8348351ef9024639ed113b43adfeb44...
PPP Encr/Comp Pkt: 9001f8348351ef9024639ed113b43adfeb4489af5ab3...
PPP IP Pkt: 4500006002bd000080117627c0a80101ffffffff0089...
ide

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   Len 113, seq 17

PPP rcvd, ifc = 0, pppdev: 1, Len: 104, 
    data: ff0300fd9002cc73cd65941744a1cf30318cc4b4b783...
PPP Encr/Comp Pkt: 9002cc73cd65941744a1cf30318cc4b4b783e825698a...
PPP IP Pkt: 4500006002bf000080117625c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 18

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd9003aaa545eaeeda0f82b5999e2fa9ba3245...
PPP Encr/Comp Pkt: 9003aaa545eaeeda0f82b5999e2fa9ba324585a1bc8d...
PPP IP Pkt: 4500006002c1000080117623c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 19
PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd90045b35d080900ab4581e64706180e3540e...
PPP Encr/Comp Pkt: 90045b35d080900ab4581e64706180e3540ee15d664a...
PPP IP Pkt: 4500006002c3000080117621c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 20

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd90052878b256edbd17b42f2cb672ba80b40a...
PPP Encr/Comp Pkt: 90052878b256edbd17b42f2cb672ba80b40a79760cef...
PPP IP Pkt: 4500006002c500008011761fc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 21

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900632359a2c07e79106c5e282e3892e60de...
PPP Encr/Comp Pkt: 900632359a2c07e79106c5e282e3892e60ded6c6d4d1...
PPP IP Pkt: 4500006002c700008011761dc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 22

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd90070ca6ea48b2ad26987d52a4e109ca68b6...

PPP Encr/Comp Pkt: 90070ca6ea48b2ad26987d52a4e109ca68b6758569d3...
PPP IP Pkt: 4500006002c900008011761bc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 23

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd90085aba60edf57e50eea4d523596cb9d690...
PPP Encr/Comp Pkt: 90085aba60edf57e50eea4d523596cb9d69057715894...
PPP IP Pkt: 4500006002cb000080117619c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 24

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd90094b73b6c962272b60d32f135b5f29f2a5...
PPP Encr/Comp Pkt: 90094b73b6c962272b60d32f135b5f29f2a58bacd050...
PPP IP Pkt: 4500006002cc000080117618c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 345, seq 25

PPP rcvd, ifc = 0, pppdev: 1, len: 336, 
    data: ff0300fd900a86307ed9537df5389ea09223d62c20fd...
PPP Encr/Comp Pkt: 900a86307ed9537df5389ea09223d62c20fd9e34072f...
PPP IP Pkt: 4500014802cf00008011752dc0a80101ffffffff0044...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 26

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900b45303a5fe7b2dc3f62db739b4bb1b802...
PPP Encr/Comp Pkt: 900b45303a5fe7b2dc3f62db739b4bb1b80253278fad...
PPP IP Pkt: 4500006002d1000080117613c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 27

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900ceb5aaaecc832df3c12bc6c519c25b4db...
PPP Encr/Comp Pkt: 900ceb5aaaecc832df3c12bc6c519c25b4dba569d161...
PPP IP Pkt: 4500006002d2000080117612c0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 28

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900dbdaaf071c2bd1c92c1f56085813d1a77...
PPP Encr/Comp Pkt: 900dbdaaf071c2bd1c92c1f56085813d1a778cc61c29...
PPP IP Pkt: 4500006002d500008011760fc0a80101ffffffff0089...


outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 29

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900e97de47036d95a0721ef6b28479b8efde...
PPP Encr/Comp Pkt: 900e97de47036d95a0721ef6b28479b8efde8e16b398...
PPP IP Pkt: 4500006002d600008011760ec0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 30

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd900f75bf4c8cbcf11464bf52bd7f6155c7d6...
PPP Encr/Comp Pkt: 900f75bf4c8cbcf11464bf52bd7f6155c7d62ea2ca5e...
PPP IP Pkt: 4500006002d900008011760bc0a80101ffffffff0089...

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 113, seq 31

PPP rcvd, ifc = 0, pppdev: 1, len: 104, 
    data: ff0300fd9010f221e7ba169702765529e4ffa368dba5...
PPP Encr/Comp Pkt: 9010f221e7ba169702765529e4ffa368dba5610921ae...
PPP IP Pkt: 4500006002da00008011760ac0a80101ffffffff0089...
from (192.168.1.1) to 255.255.255.255 on interface outside

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 231, seq 32

PPP rcvd, ifc = 0, pppdev: 1, len: 222, 
    data: ff0300fd9011c23a03921c1e10ccc38847cb8056fa93...
PPP Encr/Comp Pkt: 9011c23a03921c1e10ccc38847cb8056fa9387018912...
PPP IP Pkt: 450000d602dd000080117591c0a80101ffffffff008a...
side

outside PPTP: Recvd xGRE pak from 161.44.17.104, 
   len 345, seq 33

PPP rcvd, ifc = 0, pppdev: 1, len: 336, 
    data: ff0300fd90127d7213f35cd1d82d8988e28e0930ecc1...
PPP Encr/Comp Pkt: 90127d7213f35cd1d82d8988e28e0930ecc1614a993f...
PPP IP Pkt: 4500014802df00008011751dc0a80101ffffffff0044...

Возможные проблемы

PIX и ПК не могут согласовать аутентификацию

В ПК указаны такие протоколы аутентификации, с которыми PIX не может работать (Shiva Password Authentication Protocol (SPAP) и Microsoft CHAP версии 2 (MS-CHAP v.2) вместо версии 1). ПК и PIX не могут договориться об аутентификации. ПК выдает следующее сообщение:

Disconnected - Error 732: Your computer and the remote computer 
    could not agree on PPP control protocols

PIX и ПК не могут согласовать шифрование

В ПК установлен параметр Encrypted only, а из PIX удалена команда vpdn group 1 ppp encrypt mppe 40 required. ПК и PIX не могут договориться о шифровании, и ПК выдает следующее сообщение:

Error 742 : The remote computer does not support the required 
    data encryption type.

PIX и ПК не могут согласовать шифрование

В PIX установлен параметр vpdn group 1 ppp encrypt mppe 40 required, а в ПК не разрешено шифрование. В этом случае на ПК не появляется никаких сообщений, однако сеанс прерывается, и отладка PIX выдает следующие выходные данные:

PPTP: Call id 8, no session id protocol: 21, 
    reason: mppe required but not active, tunnel terminated
603104: PPTP Tunnel created, tunnel_id is 8, 
    remote_peer_ip is 161.44.17.104
ppp_virtual_interface_id is 1, client_dynamic_ip is 192.168.1.1
username is cisco, MPPE_key_strength is None
603105: PPTP Tunnel deleted, tunnel_id = 8, 
    remote_peer_ip = 161.44.17.104

Проблема PIX MPPE RADIUS

В PIX установлен параметр vpdn group 1 ppp encrypt mppe 40 required, а ПК для шифрования, разрешенного с аутентификацией на сервер RADIUS, не возвращает ключ MPPE. ПК выдает следующее сообщение:

Error 691: Access was denied because the username 
    and/or password was invalid on the domain.

Отладка PIX показывает:

2: PPP virtual interface 1 - 
   user: cisco  aaa authentication started
603103: PPP virtual interface 1 - 
   user: cisco  aaa authentication failed
403110: PPP virtual interface 1, 
   user: cisco missing MPPE key from aaa server
603104: PPTP Tunnel created, 
   tunnel_id is 15, 
   remote_peer_ip is 161.44.17.104
   ppp_virtual_interface_id is 1, 
   client_dynamic_ip is 0.0.0.0
   username is Unknown, 
   MPPE_key_strength is None
603105: PPTP Tunnel deleted, 
   tunnel_id = 15, 
   remote_peer_ip = 161.44.17.104

ПК выдает следующее сообщение:

Error 691: Access was denied because the username 
    and/or password was invalid on the domain.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 14096