Cómo configurar el PPTP del concentrador VPN 3000 con autenticación local

Introducción

El concentrador VPN 3000 de Cisco admite el método de tunelización de protocolo de túnel punto a punto (PPTP) para clientes nativos de Windows. Hay soporte de cifrado de 40 y 128 bits disponible en estos concentradores VPN para una conexión segura y fiable.

Consulte Configuración del PPTP del Concentrador VPN 3000 con Cisco Secure ACS para la Autenticación RADIUS de Windows para configurar el Concentrador VPN para los usuarios PPTP con autenticación extendida usando Cisco Secure Access Control Server (ACS).

Prerequisites

Requirements

Asegúrese de cumplir los requisitos previos mencionados en ¿Cuándo se Admite el Cifrado PPTP en un Cisco VPN 3000 Concentrator? antes de intentar esta configuración.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Concentrador VPN 3015 con versión 4.0.4.A

• PC Windows con cliente PPTP

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configuración del concentrador VPN 3000 con autenticación local

Complete estos pasos para configurar el VPN 3000 Concentrator con Autenticación Local.

1. Configure las respectivas direcciones IP en el VPN Concentrator y asegúrese de que tiene conectividad.

2. Asegúrese de que la autenticación PAP esté seleccionada en la ficha Configuration > User Management > Base Group PPTP/L2TP.

   

3. Seleccione Configuration > System > Tunneling Protocols > PPTP y asegúrese de que Enabled esté activado.

   

4. Seleccione Configuration > User Management > Groups > Add y configure un grupo PPTP. En este ejemplo, el nombre del grupo es "pptpgroup" y la contraseña (y la contraseña de verificación) es "cisco123".

   

5. En la ficha General del grupo, asegúrese de que la opción PPTP esté habilitada en los protocolos de autenticación.

   

   

6. En la pestaña PPTP/L2TP, habilite la autenticación PAP y desactive el cifrado (el cifrado se puede habilitar en cualquier momento en el futuro).

   

7. Seleccione Configuration > User Management > Users > Add, y configure un usuario local (denominado "pptpuser") con la contraseña cisco123 para la autenticación PPTP. Coloque el usuario en el "pptpgroup" definido previamente:

   

8. En la ficha General para el usuario, asegúrese de que la opción PPTP esté habilitada en los protocolos de tunelización.

   

9. Seleccione Configuration > System > Address Management > Pools para definir un pool de direcciones para la administración de direcciones.

   

10. Seleccione Configuration > System > Address Management > Assignment y diríjase al concentrador VPN para utilizar el conjunto de direcciones.

    

Configuración del cliente Microsoft PPTP

Nota: Ninguna de las informaciones disponibles aquí sobre la configuración del software de Microsoft incluye garantía o soporte para el software de Microsoft. El soporte para el software de Microsoft está disponible en Microsoft .

Windows 98 - Instalación y configuración de la función PPTP

Instalar

Complete estos pasos para instalar la función PPTP.

1. Seleccione Inicio > Configuración > Panel de control > Agregar nuevo hardware (Siguiente) > Seleccionar de la lista > Adaptador de red (Siguiente).

2. Seleccione Microsoft en el panel izquierdo y Microsoft VPN Adapter en el panel derecho.

Configurar

Complete estos pasos para configurar la función PPTP.

1. Seleccione Inicio > Programas > Accesorios > Comunicaciones > Dial Up Networking > Crear nueva conexión.

2. Conéctese mediante el adaptador VPN de Microsoft en el mensaje Select a device (Seleccione un dispositivo). La IP del servidor VPN es el punto final del túnel 3000.

La autenticación predeterminada de Windows 98 utiliza cifrado de contraseña (por ejemplo, CHAP o MSCHAP). Para inhabilitar inicialmente este cifrado, seleccione Properties > Server types, y desmarque los cuadros Encrypted Password y Require Data Encryption.

Windows 2000. Configuración de la función PPTP

Complete estos pasos para configurar la función PPTP.

1. Seleccione Inicio > Programas > Accesorios > Comunicaciones > Conexiones de red y marcación > Crear nueva conexión.

2. Haga clic en Next y seleccione Connect to a private network through the Internet > Dial a connection before (no seleccione esto si utiliza una LAN).

3. Haga clic en Next de nuevo, e ingrese el nombre de host o la IP del extremo del túnel, que es la interfaz exterior del concentrador VPN 3000. En este ejemplo, la dirección IP es 161.44.17.1.

Seleccione Properties > Security for the connection > Advanced para agregar un tipo de contraseña como PAP. El valor predeterminado es MSCHAP y MSCHAPv2, no CHAP ni PAP.

El cifrado de datos se puede configurar en esta área. Puede desactivarlo inicialmente.

Windows NT

Puede acceder a información sobre la configuración de clientes Windows NT para PPTP en el sitio web de Microsoft.

Windows Vista

Complete estos pasos para configurar la función PPTP.

1. En el botón Inicio, elija Conectar a.

2. Elija Configurar una conexión o red.

3. Elija Conectar a un lugar de trabajo y haga clic en Siguiente.

4. Elija Usar mi conexión a Internet (VPN).

   Nota: Si se le solicita que diga "¿Desea utilizar una conexión que ya tiene?", elija No, cree una nueva conexión y haga clic en Siguiente.

5. En el campo Internet Address, escriba pptp.vpn.univ.edu, por ejemplo.

6. En el campo Destination Name, escriba UNIVVPN, por ejemplo.

7. En el campo User Name, escriba su ID de inicio de sesión UNIV. Su ID de inicio de sesión UNIV es la parte de su dirección de correo electrónico antes de @univ.edu.

8. En el campo Password, escriba la contraseña de ID de inicio de sesión UNIV.

9. Haga clic en el botón Create y luego haga clic en el botón Close.

10. Para conectarse al servidor VPN después de crear la conexión VPN, haga clic en Start y luego Connect to.

11. Elija la conexión VPN en la ventana y haga clic en Connect.

Agregar MPPE (cifrado)

Asegúrese de que la conexión PPTP funciona sin cifrado antes de agregar el cifrado. Por ejemplo, haga clic en el botón Connect del cliente PPTP para asegurarse de que la conexión se complete. Si decide requerir cifrado, se debe utilizar la autenticación MSCHAP. En el VPN 3000, seleccione Configuration > User Management > Groups. Luego, bajo la pestaña PPTP/L2TP para el grupo, desmarque PAP, verifique MSCHAPv1 y marque Requerido para el Cifrado PPTP.

El cliente PPTP debe reconfigurarse para la encriptación de datos opcional o necesaria y MSCHAPv1 (si es una opción).

Verificación

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

Verifique el concentrador VPN

Puede iniciar la sesión PPTP marcando desde el cliente PPTP creado anteriormente en la sección Configuración del Cliente PPTP de Microsoft.

Utilice la ventana Administration > Administration Sessions en el VPN Concentrator para ver los parámetros y estadísticas de todas las sesiones PPTP activas.

Verifique el PC

Ejecute el comando ipconfig en el modo de comando del PC para ver que el PC tiene dos direcciones IP. Uno es su propia dirección IP y el otro es asignado por el VPN Concentrator desde el conjunto de direcciones IP. En este ejemplo, la dirección IP 172.16.1.10 es la dirección IP asignada por el concentrador VPN.

Depurar

Si la conexión no funciona, la depuración de clase de evento PPTP se puede agregar al concentrador VPN. Seleccione Configuration > System > Events > Classes > Modify or Add (aquí se muestra). Las clases de eventos PPTPDBG y PPTPDECODE también están disponibles, pero podrían proporcionar demasiada información.

El registro de eventos se puede recuperar de Monitoring > Filterable Event Log.

Depuración de VPN 3000 - buena autenticación

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Haga clic en la ventana PPTP user status Details para verificar los parámetros en el PC con Windows.

Troubleshoot

Estos son los posibles errores que puede encontrar:

• Nombre de usuario o contraseña incorrectos

  Salida de depuración del concentrador VPN 3000:

  1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 established
  
  2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
     Session started on tunnel 171.69.89.129
  
  3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
     Authentication rejected: Reason = User was not found
     handle = 44, server = (none), user = pptpusers, domain = <not specified>
  
  5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
     User [pptpusers]
     disconnected.. failed authentication ( MSCHAP-V1 )
  
  6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
     Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
     reason: Error (No additional info)
  
  8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
     Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

  El mensaje que el usuario ve (desde Windows 98):

  Error 691: The computer you have dialed in to has denied access 
  because the username and/or password is invalid on the domain.

  El mensaje que el usuario ve (desde Windows 2000):

  Error 691: Access was denied because the username and/or 
  password was invalid on the domain.

• "Se requiere cifrado" está seleccionado en el PC, pero no en el concentrador VPN

  El mensaje que el usuario ve (desde Windows 98):

  Error 742: The computer you're dialing in to does not support the data 
  encryption requirements specified. 
  Please check your encryption settings in the properties of the connection. 
  If the problem persists, contact your network administrator.

  El mensaje que el usuario ve (desde Windows 2000):

  Error 742: The remote computer does not support 
  the required data encryption type

• Se selecciona "Encryption Required" (Encriptación requerida) (128 bits) en el concentrador VPN con un PC que solo admite encriptación de 40 bits

  Salida de depuración del concentrador VPN 3000:

  4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
  PPTP Encryption configured as REQUIRED.. remote client not supporting it.

  El mensaje que el usuario ve (desde Windows 98):

  Error 742:  The remote computer does not support 
  the required data encryption type.

  El mensaje que el usuario ve (desde Windows 2000):

  Error 645 Dial-Up Networking could not complete the connection to the server.  
  Check your configuration and try the connection again.

• El concentrador VPN 3000 está configurado para MSCHAPv1 y el PC está configurado para PAP, pero no pueden acordar un método de autenticación

  Salida de depuración del concentrador VPN 3000:

  8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 
  
  User [pptpuser] disconnected. Authentication protocol not allowed. 

  El mensaje que el usuario ve (desde Windows 2000):

  Error 691:  Access was denied because the username and/or password 
  was invalid on the domain.

Posibles problemas de Microsoft que requieren solución

• Cómo Mantener las Conexiones RAS Activas después de Cerrar una Sesión

  Cuando se desconecta de un cliente del servicio de acceso remoto de Windows (RAS), las conexiones RAS se desconectan automáticamente. Habilite la clave KeepRasConnections en el registro del cliente RAS para que permanezca conectado después de cerrar la sesión. Refiérase al Artículo de Base de Conocimientos de Microsoft - 158909 para obtener más información.

• No se Alerta al Usuario cuando se Inicia Sesión con las Credenciales Guardadas en Caché

  Los síntomas de este problema son cuando intenta iniciar sesión en un dominio desde una estación de trabajo basada en Windows o un servidor miembro y no se puede encontrar un controlador de dominio y no se muestra ningún mensaje de error. En su lugar, se abre una sesión en el equipo local con las credenciales guardadas en caché. Refiérase al artículo 242536 de Microsoft Knowledge Base para obtener más información.

• Cómo Escribir un Archivo LMHOSTS para la Validación de Dominio y Otros Problemas de Resolución de Nombre

  Puede haber instancias en las que experimente problemas de resolución de nombres en su red TCP/IP y necesite utilizar archivos LMHOSTS para resolver los nombres de NetBIOS. Este artículo trata sobre el método adecuado utilizado para crear un archivo LMHOSTS que ayude en la resolución de nombres y validación de dominio. Refiérase al Artículo de Base de Conocimientos de Microsoft - 180094 para obtener más información.

Información Relacionada

• RFC 2637: Protocolo de Tunelización punto a Punto (PPTP)
• Páginas de soporte de Cisco Secure ACS para Windows
• ¿Cuándo se Admite el Cifrado PPTP en un Concentrador VPN 3000 de Cisco?
• Configuración del concentrador VPN 3000 y PPTP con Cisco Secure ACS para autenticación RADIUS de Windows
• Páginas de soporte del concentrador VPN 3000 de Cisco
• Páginas de soporte de VPN 3000 Client de Cisco
• Páginas de soporte de productos de seguridad IP (IPSec)
• Páginas de Soporte de Productos PPTP
• Soporte Técnico y Documentación - Cisco Systems

Historial de revisiones