PIX 6.x: Пример конфигурации PPTP с проверкой подлинности RADIUS
Содержание
Общие сведения
Предварительные условия
Требования
Используемые компоненты
Условные обозначения
Настройка
Схема сети
Приемы настройки для брандмауэра PIX
Настройка функции PPTP на клиентских ПК
Windows 98
Windows 2000
Windows NT
Настройка PIX
Конфигурация PIX - локальная аутентификация с шифрованием
Конфигурация PIX - аутентификация RADIUS с шифрованием
Настройка Cisco Secure ACS для Windows 3.0
Аутентификация RADIUS с шифрованием
Проверка
Команды show PIX (после аутентификации)
Проверка клиентского ПК
Устранение неполадок
Команды устранения неполадок
Включение ведения журнала PPP на клиенте
Другие проблемы, связанные с Microsoft
Пример отладочных выходных данных
Возможные проблемы
Дополнительные сведения
Общие сведения
Point-to-Point Tunneling Protocol (PPTP) - это протокол туннелирования уровня 2, который разрешает удаленному клиенту использовать публичную IP-сеть для безопасной связи с серверами в частной корпоративной сети. PPTP является туннелем для IP. PPTP описывается в RFC 2637 
. Поддержка PPTP в брандмауэре PIX была добавлена в программном обеспечении PIX, релизе 5.1. В документации PIX дается больше сведений о PPTP и его использовании с PIX. Этот документ описывает настройку PIX для использования PPTP с локальной аутентификацией, TACACS+ и RADIUS. В документе также даны приемы и примеры, которые могут помочь при разрешении часто возникающих проблем.
Этот документ также показывает, как настраивать соединения PPTP к PIX. Чтобы настроить PIX или ASA для разрешения PPTP через устройство безопасности, обратитесь к "Разрешение соединений PPTP через PIX".
Чтобы настроить брандмауэр PIX и клиент VPN для использования с сервером IAS RADIUS для Windows 2000 и 2003, обратитесь к "Cisco Secure PIX Firewall 6.x и Cisco VPN Client 3.5 for Windows с сервером аутентификации Microsoft Windows 2000 и 2003 IAS RADIUS".
Примечание: в терминологии PPTP, согласно RFC, сетевой сервер PPTP (PNS) является сервером (в данном случае, PIX, или вызываемым), а концентратор доступа PPTP (PAC) – клиентом (компьютером, вызывающим).
Предварительные условия
Требования
Для данного документа нет особых требований.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются программного обеспечения Cisco IOS версии 6.2(1) and 6.3(3).
Данные для документа были получены в специально созданных лабораторных условиях. При написании данного документа использовались только устройства с пустой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд.
Условные обозначения
Дополнительные сведения об условных обозначениях в документах см. в статье "Технические советы Cisco. Условные обозначения".
Настройка
В этом разделе приводятся сведения о настройке функций, описанных в данном документе.
Примечание: для поиска дополнительной информации о командах в данном документе используйте Command Lookup Tool (только для зарегистрированных клиентов).
Схема сети
В этом документе использованы параметры данной сети.
Приемы настройки для брандмауэра PIX
Тип аутентификации - CHAP, PAP, MS-CHAP
PIX, настроенный одновременно для всех трех методов аутентификации (CHAP, PAP, MS-CHAP), дает наибольшие шансы для установления соединения, вне зависимости от того, как настроен ПК. Это хорошая идея для устранения неисправностей.
vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 ppp authentication pap
Microsoft Point-to-Point Encryption (MPPE)
используйте синтаксис этой команды для настройки шифрования MPPE на брандмауэре PIX.
vpdn group 1 ppp encryption mppe 40|128|auto [required]
В этой команде required является необязательным ключевым словом. Должен быть настроен MS-CHAP.
Настройка функции PPTP на клиентских ПК
Примечание: предоставленная здесь информация о конфигурациях, связанных с программным обеспечением Microsoft, не сопровождается никакой гарантией или поддержкой программного обеспечения Microsoft. Поддержка программного обеспечения Microsoft предоставляется Microsoft на веб-сайте поддержки Microsoft .
Windows 98
Выполните эти шаги для установки функции РРТР в Windows 98.
Выберите Start > Settings > Control Panel > Add New Hardware. Нажмите кнопку Next.
Нажмите на Select from List и выберите Network Adapter. Нажмите кнопку Next.
На левой панели выберите Microsoft, а на правой Microsoft VPN Adapter.
Чтобы настроить функцию PPTP, выполните следующие шаги.
Выберите Start > Programs > Accessories > Communications > Dial Up Networking.
Нажмите на Make new connection. В пункте Select a device выберите Microsoft VPN Adapter. IP-адрес VPN-сервера является конечной точкой туннеля c межсетевым экраном PIX.
Аутентификация по умолчанию Windows 98 использует шифрование пароля (CHAP или MS-CHAP). Чтобы настроить в ПК разрешение PAP, выберите Properties > Server types. Снимите флажок Require encrypted password. В этой области можно настроить шифрование данных (с использованием MPPE или без MPPE).
Windows 2000
Выполните эти шаги для установки функции РРТР в Windows 2000.
Выберите Start > Programs > Accessories > Communications > Network & Dialup connections.
Нажмите на Make new connection, затем на Next.
Выберите Connect to a private network through the Internet и Dial a connection prior (если не используется LAN). Нажмите на Next.
Введите имя узла или IP-адрес конечной точки туннеля (PIX/маршрутизатор).
Если требуется изменить тип пароля, выберите Properties > Security for the connection > Advanced. По умолчанию используется MS-CHAP и MS-CHAP v2 (а не CHAP или PAP). В этой области можно настроить шифрование данных (с использованием MPPE или без MPPE).
Windows NT
Для настройки клиентов NT для PPTP см. "Установка, настройка и использование PPTP с клиентами и серверами Microsoft" .
Настройка PIX
Конфигурация PIX – локальная аутентификация, без шифрования |
|---|
PIX Version 6.2(1) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 pix/intf2 security10 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname PIX fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list 101 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0 pager lines 24 logging on no logging timestamp no logging standby no logging console no logging monitor logging trap debugging no logging history logging facility 20 logging queue 512 interface ethernet0 10baset interface ethernet1 10baset interface ethernet2 10baset mtu outside 1500 mtu inside 1500 mtu pix/intf2 1500 ip address outside 172.18.124.152 255.255.255.0 ip address inside 10.1.1.1 255.255.255.0 ip address pix/intf2 127.0.0.1 255.255.255.255 ip local pool pptp-pool 192.168.1.1-192.168.1.50 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 failover ip address pix/intf2 0.0.0.0 arp timeout 14400 global (outside) 1 172.18.124.201-172.18.124.202 nat (inside) 0 access-list 101 nat (inside) 1 10.1.1.0 255.255.255.0 0 0 conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 172.18.124.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-pptp isakmp identity hostname telnet timeout 5 vpdn group 1 accept dialin pptp vpdn group 1 ppp authentication pap vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 client configuration address local pptp-pool vpdn group 1 client authentication local vpdn username cisco password cisco vpdn enable outside terminal width 80 Cryptochecksum:a72d9f71d1a31332307fcd348e02410d : end |
Конфигурация PIX Configuration - локальная аутентификация с шифрованием
При добавлении этой команды в конфигурацию PIX с локальной аутентификацией и без шифрования ПК и PIX производят автосогласование шифрования (40-битное или нет) на основании настроек ПК.
vpdn group 1 ppp encryption mppe auto
Если у PIX включена функция 3DES, команда show version показывает следующее сообщение.
Версия 6.3 и более поздние:
VPN-3DES-AES: Enabled
Версия 6.2 и более ранние:
VPN-3DES: Enabled
Можно также использовать 128-битное шифрование. Однако если отображается одно из следующих сообщений, 128-битное шифрование в PIX невозможно.
Версия 6.3 и более поздние:
Warning: VPN-3DES-AES license is required for 128 bits MPPE encryption
Версия 6.2 и более ранние:
Warning: VPN-3DES license is required for 128 bits MPPE encryption
Далее приводится синтаксис команды MPPE.
vpdn group ppp encryption mppe 40|128|auto [required]
ПК и PIX должны быть настроены на выполнение аутентификации MS-CHAP совместно с MPPE.
Конфигурация PIX – аутентификация TACACS+/RADIUS без шифрования |
|---|
PIX Version 6.2(1) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 pix/intf2 security10 enable password 8Ry2YjIyt7RRXU24 encrypted passwd OnTrBUG1Tp0edmkr encrypted hostname PIX fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list 101 permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0 pager lines 24 logging on logging timestamp no logging standby logging console debugging no logging monitor logging buffered debugging logging trap debugging no logging history logging facility 20 logging queue 512 interface ethernet0 10baset interface ethernet1 10baset interface ethernet2 10baset mtu outside 1500 mtu inside 1500 mtu pix/intf2 1500 ip address outside 172.18.124.152 255.255.255.0 ip address inside 10.1.1.1 255.255.255.0 ip address pix/intf2 127.0.0.1 255.255.255.255 ip local pool pptp-pool 192.168.1.1-192.168.1.50 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 failover ip address pix/intf2 0.0.0.0 arp timeout 14400 global (outside) 1 172.18.124.201-172.18.124.202 nat (inside) 0 access-list 101 nat (inside) 1 10.1.1.0 255.255.255.0 0 0 conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 172.18.124.1 1 timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius !--- Использовать в этой инструкции или RADIUS, или TACACS+. aaa-server AuthInbound protocol radius | tacacs+ aaa-server AuthInbound (outside) host 172.18.124.99 cisco timeout 5 no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-pptp isakmp identity address telnet 10.1.1.5 255.255.255.255 inside telnet 10.1.1.5 255.255.255.255 pix/intf2 telnet timeout 5 vpdn group 1 accept dialin pptp vpdn group 1 ppp authentication pap vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 client configuration address local pptp-pool vpdn group 1 client authentication aaa AuthInbound vpdn enable outside terminal width 80 Cryptochecksum:96e9c93cb0a6ad6f53581dd7b61ac763 : end [OK] |
Конфигурация PIX - аутентификация RADIUS с шифрованием
Если используется RADIUS и сервер RADIUS (заданный поставщиком атрибут 26, поставщик Microsoft) поддерживает манипуляции MPPE, может быть добавлено шифрование MPPE. Аутентификация TACACS+ не поддерживает шифрование, потому что серверы TACACS+ не способны возвращать специальные ключи MPPE. Cisco Secure ACS для Windows 2.5 и более поздние RADIUS не поддерживают MPPE (все серверы RADIUS не поддерживают MPPE).
С допущением, что аутентификация RADIUS работает без шифрования, добавьте шифрование, включив следующую команду в предыдущую конфигурацию:
vpdn group 1 ppp encryption mppe auto
ПК и PIX производят автосогласование шифрования (40-битное или нет) на основании настроек ПК.
Если у PIX включена функция 3DES, команда show version выводит следующее сообщение.
VPN-3DES: Enabled
Можно также использовать 128-битное шифрование. Однако если отображается следующее сообщение, 128-битное шифрование в PIX невозможно.
Warning: VPN-3DES license is required for 128 bits MPPE encryption
Далее приводится синтаксис для команды MPPE.
vpdn group ppp encryption mppe 40|128|auto [required]
ПК и PIX должны быть настроены на выполнение аутентификации MS-CHAP совместно с MPPE.
Настройка Cisco Secure ACS для Windows 3.0
Аутентификация RADIUS с шифрованием
Следуйте этим шагам для настройки Cisco Secure ACS для Windows версии 3.0. Те же самые этапы настройки применимы для ACS версий 3.1 и 3.2.
Добавьте PIX в Cisco Secure ACS для Network Configuration сервера Windows и укажите тип словаря RADIUS (Cisco IOS/PIX).
Откройте Interface Configuration > RADIUS (Microsoft) и установите флажки на атрибутах MPPE, чтобы они появились в интерфейсе группы.
Добавьте пользователя. В группе пользователя добавьте атрибуты MPPE [RADIUS (Microsoft)]. Для шифрования следует включить эти атрибуты, но они являются необязательными, когда PIX не настроен для шифрования.
Проверка
В данном разделе содержатся сведения о проверке работы конфигурации.
Команды show PIX (после аутентификации)
Средство Output Interpreter Tool (только для зарегистрированных заказчиков) (OIT) поддерживает отдельные команды show. Это позволяет просмотреть анализ выходных данных команды show.
Команда show vpdn выводит информацию о туннелях и сеансах.
PIX#show vpdn
PPTP Tunnel and Session Information (Total tunnels=1 sessions=1)
Tunnel id 13, remote id is 13, 1 active sessions
Tunnel state is estabd, time since event change 24 secs
remote Internet Address 161.44.17.104, port 1723
Local Internet Address 172.18.124.152, port 1723
12 packets sent, 35 received, 394 bytes sent, 3469 received
Call id 13 is up on tunnel id 13
Remote Internet Address is 161.44.17.104
Session username is cisco, state is estabd
Time since event change 24 secs, interface outside
Remote call id is 32768
PPP interface id is 1
12 packets sent, 35 received, 394 bytes sent, 3469 received
Seq 13, Ack 34, Ack_Rcvd 12, peer RWS 64
0 out of order packets
Проверка клиентского ПК
В окне MS-DOS или из окна Run введите ipconfig /all. Эти данные выводит часть адаптера PPP.
PPP adapter pptp:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.1
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . :
Можно также нажать Details для просмотра сведений в соединении PPTP.
Устранение неполадок
В данном разделе описывается процесс устранения неполадок конфигурации.
Для общей инкапсуляции маршрутов (GRE) и TCP 1723 должно существовать соединение из ПК в конечную точку туннеля PIX. Есть если вероятность, что оно заблокировано брандмауэром или списком доступа, передвиньте ПК ближе к PIX.
Наиболее легко установить PPTP в Windows 98 и Windows 2000. При возникновении сомнений попытайтесь повторить операцию на разных компьютерах и операционных системах. После установления соединения нажмите на Details на ПК для отображения информации о соединении. Например, данных о том, используете ли вы PAP, CHAP, IP, шифрование и т.д.
Если вы намерены использовать RADIUS и/или TACACS+, сначала попытайтесь настроить локальную аутентификацию (имя пользователя и пароль на PIX). Если она не работает, не будет работать и аутентификация сервером RADIUS или TACACS+.
Сначала убедитесь, что настройки безопасности на ПК разрешают максимально возможное число типов аутентификации (PAP, CHAP, MS-CHAP) и снимите флажок Require data encryption (сделайте этот параметр необязательным как для PIX, так и для ПК).
Поскольку тип аутентификации согласован, настройте PIX с максимальным числом возможностей. Например, если ПК настроен только для MS-CHAP, а маршрутизатор только для PAP, они никогда не будут работать вместе.
Если PIX действует как сервер PPTP для двух разных расположений, и каждое расположение имеет собственный сервер RADIUS, использование единого PIX для обоих расположений, обслуживаемых их собственными серверами RADIUS, не поддерживается.
Некоторые серверы RADIUS не поддерживают MPPE. Если сервер RADIUS не поддерживает манипуляции MPPE, аутентификация RADIUS будет работать, а шифрование MPPE - нет.
В операционной системе Windows 98 или более поздней версии при использовании аутентификации PAP или CHAP имя пользователя, отправляемое на PIX, совпадает с тем, которое было введено в настройках модемного подключения. Однако при использовании MS-CHAP имя домена может быть добавлено к имени пользователя, в его начало, например:
Имя пользователя, введенное в DUN - "cisco"
Домен, установленный в окне Windows 98 - "DOMAIN"
Имя пользователя MS-CHAP, отправленное PIX - "DOMAIN\cisco"
Имя пользователя в PIX - "cisco"
Результат: недействительное имя пользователя/пароль
Фрагмент журнала PPP из ПК с Windows 98, иллюстрирующий данную ситуацию.
02-01-2001 08:32:06.78 - Data 0038: 49 53 4c 41 42 5c 63 69 | DOMAIN\ci 02-01-2001 08:32:06.78 - Data 0040: 73 63 6f 00 00 00 00 00 | sco..... | | 02-01-2001 08:32:06.80 - Data 0000: c2 23 04 01 00 1a 41 75 | .#...^ZAu 02-01-2001 08:32:06.80 - Data 0008: 74 68 65 6e 74 69 63 61 | thentica 02-01-2001 08:32:06.80 - Data 0010: 74 69 6f 6e 20 66 61 69 | tion fai 02-01-2001 08:32:06.80 - Data 0018: 6c 65 64 2e 00 00 00 00 | led..... 02-01-2001 08:32:06.80 - CHAP : Login failed: username, password, or domain was incorrect.
При использовании Windows 98 и MS-CHAP к PIX, кроме имени пользователя без домена, вы можете добавить "DOMAIN\username":
vpdn username cisco password cisco vpdn username DOMAIN\cisco password cisco
Примечание: тот же прием применим при проведении удаленной аутентификации на сервере AAA.
Команды устранения неполадок
Сведения об ожидаемой последовательности событий PPTP даны в RFC 2637 для PPTP 
. В PIX важные события в правильной последовательности PPTP показывают:
SCCRQ (Start-Control-Connection-Request) SCCRP (Start-Control-Connection-Reply) OCRQ (Outgoing-Call-Request) OCRP (Outgoing-Call-Reply)
Примечание: прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".
Команды PIX debug
debug ppp io — показывает информацию о пакетах данных для виртуального интерфейса PPTP PPP.
debug ppp error — показывает ошибки протокола и статистику ошибок, связанную с работой и согласованием соединения PPP.
debug vpdn error — показывает ошибки, препятствующие установлению туннеля PPP, или ошибки, вызывающие закрытие установленного туннеля.
debug vpdn packet — отображает ошибки и события L2TP, которые сопровождают нормальную установку туннеля или завершение VPDN.
debug vpdn events — показывает сообщения о событиях, свидетельствующих о нормальном ходе установления или закрытия туннеля PPP.
debug ppp uauth — показывает сообщения отладки аутентификации пользователей ААА виртуального интерфейса PPTP PPP.
Команды PIX clear
Эти команды должны задаваться в режиме конфигурации.
clear vpdn tunnel [all | [id tunnel_id]] — удаляет из конфигурации один или более туннелей PPTP.
Внимание: не используйте команду clear vpdn. Она удаляет все команды vpdn.
Включение ведения журнала PPP на клиенте
Следуйте данным инструкциям для включения отладки PPP в различных операционных системах Windows и Microsoft.
Windows 95
Выполните эти шаги для включения ведения журнала PPP в Windows 95.
В разделе Network на панели управления нажмите два раза на Microsoft Dial-Up Adapter в списке установленных компонентов сети.
Откройте вкладку Advanced. В списке Property нажмите на параметр Record A Log File, а в списке Value - на Yes. Затем нажмите на OK.
Чтобы данный параметр вступил в силу, выключите и перезагрузите компьютер. Журнал сохранен в файле ppplog.txt.
Windows 98
Выполните эти шаги для включения ведения журнала РРР в Windows 98.
В меню Dial-Up Networking нажмите один раз на значок соединения и затем выберите File > Properties.
Откройте вкладку Server Types.
Выберите параметр Record a log file for this connection. Файл журнала находится в C:\Windows\ppplog.txt
Windows 2000
Чтобы включить журнал PPP в Windows 2000 обратитесь к сайту "Справка и поддержка Microsoft" и найдите документ "Включение ведения журнала PPP в Windows" ("Enable PPP Logging in Windows").
Windows NT
Выполните эти шаги для включения ведения журнала РРР в Windows NT.
Найдите ключ SYSTEM\CurrentControlSet\Services\RasMan\PPP и измените Logging с 0 на 1. Это создаст файл под названием PPP.LOG в каталоге <winnt root>\SYSTEM32\RAS directory.
Чтобы провести отладку сеанса PPP, сначала включите ведение журнала и затем инициируйте соединение PPP. Если во время соединения произошла ошибка или оно прервалось, сведения об этом можно посмотреть в PPP.LOG.
Подробнее см. "Справка и поддержка Microsoft" , документ "Включение ведения журнала PPP в Windows NT" ("Enabling PPP Logging in Windows NT").
Другие проблемы, связанные с Microsoft
Ниже перечислены некоторые проблемы, связанные с использованием продуктов Microsoft, которые необходимо учитывать при устранении неполадок PPTP. Подробнее см. "Базу знаний Microsoft" по приведенным ниже ссылкам.
Как сохранить активными соединения RAS после завершения сеанса
После завершения сеанса работы с клиентом Windows Remote Access Service (RAS) все соединения RAS автоматически разрываются. Можно оставаться подключенным, включив в клиенте RAS ключ реестра KeepRasConnections.
Пользователь не получает уведомления при ведении журнала с кэшированными учетными данными
Если вы регистрируетесь в домене с рабочей станции под управлением Windows или с рядового сервера и контроллер домена не может быть найден, вы не получаете никакого сообщения об ошибке, которое сообщало бы об этой проблеме. Вместо этого производится ведение журнала на локальном компьютере с использованием кэшированных учетных данных.
Как написать файл LMHOSTS для проверки данных домена и других проблем разрешения имен
При появлении проблем с разрешением имен в сети TCP/IP у вас может появиться необходимость использовать файлы Lmhosts для разрешения имен NetBIOS. Следуйте специальной процедуре для создания файла Lmhosts, который используется в разрешении имен и проверке данных домена.
Пример отладочных выходных данных
Отладка PIX - локальная аутентификация
Важные события выделены в этих выходных данных курсивом.
PPTP: new peer fd is 1
Tnl 42 PPTP: Tunnel created; peer initiated PPTP:
created tunnel, id = 42
PPTP: cc rcvdata, socket fd=1, new_conn: 1
PPTP: cc rcv 156 bytes of data
SCCRQ = Start-Control-Connection-Request -
message code bytes 9 & 10 = 0001
Tnl 42 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 42 PPTP: CC I SCCRQ
Tnl 42 PPTP: protocol version 0x100
Tnl 42 PPTP: framing caps 0x1
Tnl 42 PPTP: bearer caps 0x1
Tnl 42 PPTP: max channels 0
Tnl 42 PPTP: firmware rev 0x0
Tnl 42 PPTP: hostname "local"
Tnl 42 PPTP: vendor "9x"
Tnl 42 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd
SCCRP = Start-Control-Connection-Reply -
message code bytes 9 & 10 = 0002
Tnl 42 PPTP: CC O SCCRP
PPTP: cc snddata, socket fd=1, len=156,
data: 009c00011a2b3c4d0002000001000100000000030000...
PPTP: cc waiting for input, max soc FD = 1
PPTP: soc select returns rd mask = 0x2
PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data
OCRQ = Outgoing-Call-Request -
message code bytes 9 & 10 = 0007
Tnl 42 PPTP: CC I 00a800011a2b3c4d00070000000000000000dac00000...
Tnl 42 PPTP: CC I OCRQ
Tnl 42 PPTP: call id 0x0
Tnl 42 PPTP: serial num 0
Tnl 42 PPTP: min bps 56000:0xdac0
Tnl 42 PPTP: max bps 64000:0xfa00
Tnl 42 PPTP: bearer type 3
Tnl 42 PPTP: framing type 3
Tnl 42 PPTP: recv win size 16
Tnl 42 PPTP: ppd 0
Tnl 42 PPTP: phone num Len 0
Tnl 42 PPTP: phone num ""
Tnl/Cl 42/42 PPTP: l2x store session: tunnel id 42,
session id 42, hash_ix=42
PPP virtual access open, ifc = 0
Tnl/Cl 42/42 PPTP: vacc-ok -> state change wt-vacc to estabd
OCRP = Outgoing-Call-Reply -
message code bytes 9 & 10 = 0008
Tnl/Cl 42/42 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32,
data: 002000011a2b3c4d00080000002a00000100000000fa...
!--- Отладка после данного события представляет собой поток пакетов.
PPTP: cc waiting for input, max soc FD = 1
outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 1
PPP rcvd, ifc = 0, pppdev: 1, Len: 27,
data: ff03c021010100170206000a00000506001137210702...
PPP xmit, ifc = 0, Len: 23 data:
ff03c021010100130305c22380050609894ab407020802
Interface outside - PPTP xGRE: Out paket, PPP Len 23
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 39,
seq 1, ack 1,
data: 3081880b001700000000000100000001ff03c0210101...
PPP xmit, ifc = 0, Len: 17
data: ff03c0210401000d0206000a00000d0306
Interface outside - PPTP xGRE: Out paket, PPP Len 17
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33,
seq 2, ack 1,
data: 3081880b001100000000000200000001ff03c0210401...
outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 39, seq 2, ack 1
PPP rcvd, ifc = 0, pppdev: 1, Len: 23,
data: ff03c021020100130305c22380050609894ab407020802
outside PPTP: Recvd xGRE pak from 99.99.99.5, Len 34, seq 3, ack 2
PPP rcvd, ifc = 0, pppdev: 1, Len: 18,
data: ff03c0210102000e05060011372107020802
PPP xmit, ifc = 0, Len: 18
data: ff03c0210202000e05060011372107020802
Interface outside - PPTP xGRE: Out paket, PPP Len 18
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 34,
seq 3, ack 3,
data: 3081880b001200000000000300000003ff03c0210202...
PPP xmit, ifc = 0, Len: 17
data: ff03c2230101000d08d36602863630eca8
Interface outside - PPTP xGRE: Out paket, PPP Len 15
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 31,
seq 4, ack 3,
data: 3081880b000f00000000000400000003c2230101000d...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 76, seq 4, ack 4
PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
data: ff03c2230201003a31d4d0a397a064668bb00d954a85...
PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
seq 5, ack 4,
data: 3081880b000600000000000500000004c22303010004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 58, seq 5, ack 5
PPP rcvd, ifc = 0, pppdev: 1, Len: 44,
data: ff038021010100280206002d0f010306000000008106...
PPP xmit, ifc = 0, Len: 14 data: ff0380210101000a030663636302
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
seq 6, ack 5,
data: 3081880b000c0000000000060000000580210101000a...
PPP xmit, ifc = 0, Len: 38
data: ff038021040100220206002d0f018106000000008206...
Interface outside - PPTP xGRE: Out paket, PPP Len 36
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 52,
seq 7, ack 5,
data: 3081880b002400000000000700000005802104010022...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 29, seq 6
PPP rcvd, ifc = 0, pppdev: 1, Len: 19,
data: ff0380fd0101000f1206010000011105000104
PPP xmit, ifc = 0, Len: 8 data: ff0380fd01010004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
seq 8, ack 6,
data: 3081880b00060000000000080000000680fd01010004
PPP xmit, ifc = 0, Len: 19
data: ff0380fd0401000f1206010000011105000104
Interface outside - PPTP xGRE: Out paket, PPP Len 17
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 33,
seq 9, ack 6,
data: 3081880b00110000000000090000000680fd0401000f...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 28, seq 7, ack 6
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210201000a030663636302
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 22, seq 8, ack 8
PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
data: ff0380fd02010004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 22, seq 9, ack 9
PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
data: ff0380fd01020004
PPP xmit, ifc = 0, Len: 8 data: ff0380fd02020004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
seq 10, ack 9,
data: 3081880b000600000000000a0000000980fd02020004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 22, seq 10, ack 10
PPP rcvd, ifc = 0, pppdev: 1, Len: 8,
data: ff0380fd05030004
PPP xmit, ifc = 0, Len: 8 data: ff0380fd06030004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 22,
seq 11, ack 10,
data: 3081880b000600000000000b0000000a80fd06030004
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 48, seq 11
PPP rcvd, ifc = 0, pppdev: 1, Len: 38,
data: ff038021010200220306000000008106000000008206...
PPP xmit, ifc = 0, Len: 32
data: ff0380210402001c8106000000008206000000008306...
Interface outside - PPTP xGRE: Out paket, PPP Len 30
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 46,
seq 12, ack 11,
data: 3081880b001e00000000000c0000000b80210402001c...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 28, seq 12, ack 12
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210103000a030600000000
PPP xmit, ifc = 0, Len: 14
data: ff0380210303000a0306ac100101
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
seq 13, ack 12,
data: 3081880b000c00000000000d0000000c80210303000a...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 28, seq 13, ack 13
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210104000a0306ac100101
PPP xmit, ifc = 0, Len: 14
data: ff0380210204000a0306ac100101
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 99.99.99.5, Len 28,
seq 14, ack 13,
data: 3081880b000c00000000000e0000000d80210204000a...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 41, seq 14
PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
data: ff0300214500001cc80000008001e5ccac100101e000...
PPP IP Pkt: 4500001cc80000008001e5ccac100101e00000020a00...
603104: PPTP Tunnel created, tunnel_id is 42,
remote_peer_ip is 99.99.99.5
ppp_virtual_interface_id is 1,
client_dynamic_ip is 172.16.1.1
username is john, MPPE_key_strength is None
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 15
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060ca0000008011176bac100101ac10...
PPP IP Pkt: 45000060ca0000008011176bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 16
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060cb0000008011166bac100101ac10...
PPP IP Pkt: 45000060cb0000008011166bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 17
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060cc0000008011156bac100101ac10...
PPP IP Pkt: 45000060cc0000008011156bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 18
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060d00000008011116bac100101ac10...
PPP IP Pkt: 45000060d00000008011116bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 19
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060d200000080110f6bac100101ac10...
PPP IP Pkt: 45000060d200000080110f6bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 20
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060d300000080110e6bac100101ac10...
PPP IP Pkt: 45000060d300000080110e6bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 41, seq 21
PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
data: ff0300214500001cd60000008001d7ccac100101e000...
PPP IP Pkt: 4500001cd60000008001d7ccac100101e00000020a00...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 22
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060d80000008011096bac100101ac10...
PPP IP Pkt: 45000060d80000008011096bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 23
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060da0000008011076bac100101ac10...
PPP IP Pkt: 45000060da0000008011076bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 24
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060db0000008011066bac100101ac10...
PPP IP Pkt: 45000060db0000008011066bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 25
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060de0000008011036bac100101ac10...
PPP IP Pkt: 45000060de0000008011036bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 26
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060e00000008011016bac100101ac10...
PPP IP Pkt: 45000060e00000008011016bac100101ac10ffff0089...
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 109, seq 27
PPP rcvd, ifc = 0, pppdev: 1, Len: 100,
data: ff03002145000060e10000008011006bac100101ac10...
PPP IP Pkt: 45000060e10000008011006bac100101ac10ffff0089...
inside:172.16.255.255/137
outside PPTP: Recvd xGRE pak from 99.99.99.5,
Len 41, seq 28
PPP rcvd, ifc = 0, pppdev: 1, Len: 32,
data: ff0300214500001ce40000008001c9ccac100101e000...
PPP IP Pkt: 4500001ce40000008001c9ccac100101e00000020a00...
Отладка PIX - аутентификация RADIUS
Важные события выделены в этих выходных данных курсивом.
PIX#terminal monitor
PIX# 106011: Deny inbound (No xlate) icmp src
outside:172.17.194.164 dst
outside:172.18.124.201 (type 8, code 0)
106011: Deny inbound (No xlate) icmp src
outside:172.17.194.164 DST
outside:172.18.124.201 (type 8, code 0)
PIX#
PPTP: soc select returns rd mask = 0x1
PPTP: new peer FD is 1
Tnl 9 PPTP: Tunnel created; peer initiatedPPTP:
created tunnel, id = 9
PPTP: cc rcvdata, socket FD=1, new_conn: 1
PPTP: cc rcv 156 bytes of data
SCCRQ = Start-Control-Connection-Request -
message code bytes 9 & 10 = 0001
Tnl 9 PPTP: CC I 009c00011a2b3c4d0001000001000000000000010000...
Tnl 9 PPTP: CC I SCCRQ
Tnl 9 PPTP: protocol version 0x100
Tnl 9 PPTP: framing caps 0x1
Tnl 9 PPTP: bearer caps 0x1
Tnl 9 PPTP: max channels 0
Tnl 9 PPTP: firmware rev 0x870
Tnl 9 PPTP: hostname ""
Tnl 9 PPTP: vendor "Microsoft Windows NT"
Tnl 9 PPTP: SCCRQ-ok -> state change wt-sccrq to estabd
SCCRP = Start-Control-Connection-Reply -
message code bytes 9 & 10 = 0002
Tnl 9 PPTP: CC O SCCRP
PPTP: cc snddata, socket FD=1, Len=156,
data: 009c00011a2b3c4d0002000001000100000000030000...
PPTP: cc waiting for input, max soc FD = 1
PPTP: soc select returns rd mask = 0x2
PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 168 bytes of data
OCRQ = Outgoing-Call-Request -
message code bytes 9 & 10 = 0007
Tnl 9 PPTP: CC I 00a800011a2b3c4d000700004000e4f50000012c05f5...
Tnl 9 PPTP: CC I OCRQ
Tnl 9 PPTP: call id 0x4000
Tnl 9 PPTP: serial num 58613
Tnl 9 PPTP: min bps 300:0x12c
Tnl 9 PPTP: max BPS 100000000:0x5f5e100
Tnl 9 PPTP: bearer type 3
Tnl 9 PPTP: framing type 3
Tnl 9 PPTP: recv win size 64
Tnl 9 PPTP: ppd 0
Tnl 9 PPTP: phone num Len 0
Tnl 9 PPTP: phone num ""
Tnl/Cl 9/9 PPTP: l2x store session: tunnel id 9,
session id 9, hash_ix=9
PPP virtual access open, ifc = 0
Tnl/CL 9/9 PPTP: vacc-ok -> state change wt-vacc to estabd
OCRP = Outgoing-Call-Reply -
message code bytes 9 & 10 = 0008
Tnl/CL 9/9 PPTP: CC O OCRP
PPTP: cc snddata, socket FD=1, Len=32,
data: 002000011a2b3c4d00080000000940000100000000fa...
PPTP: cc waiting for input, max soc FD = 1
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 60, seq 0
PPP rcvd, ifc = 0, pppdev: 1, Len: 48,
data: ff03c0210100002c0506447e217e070208020d030611...
PPP xmit, ifc = 0, Len: 23
data: ff03c021010100130305c2238005065a899b2307020802
Interface outside - PPTP xGRE: Out paket, PPP Len 23
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 39,
seq 1, ack 0,
data: 3081880b001740000000000100000000ff03c0210101...
PPP xmit, ifc = 0, Len: 38
data: ff03c021040000220d03061104064e131701beb613cb..
.
Interface outside - PPTP xGRE: Out paket, PPP Len 38
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 54,
seq 2, ack 0,
data: 3081880b002640000000000200000000ff03c0210400...
PPTP: soc select returns rd mask = 0x2
PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data
Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000ffffffffffff...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 39, seq 1, ack 1
PPP rcvd, ifc = 0, pppdev: 1, Len: 23,
data: ff03c021020100130305c2238005065a899b2307020802
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 34, seq 2, ack 2
PPP rcvd, ifc = 0, pppdev: 1, Len: 18,
data: ff03c0210101000e0506447e217e07020802
PPP xmit, ifc = 0, Len: 18
data: ff03c0210201000e0506447e217e07020802
Interface outside - PPTP xGRE: Out paket, PPP Len 18
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 34,
seq 3, ack 2,
data: 3081880b001240000000000300000002ff03c0210201...
PPP xmit, ifc = 0, Len: 17
data: ff03c2230101000d08f3686cc47e37ce67
Interface outside - PPTP xGRE: Out paket, PPP Len 15
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 31,
seq 4, ack 2,
data: 3081880b000f40000000000400000002c2230101000d...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 36, seq 3, ack 3
PPP rcvd, ifc = 0, pppdev: 1, Len: 22,
data: ff03c0210c020012447e217e4d5352415356352e3030
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 45, seq 4
PPP rcvd, ifc = 0, pppdev: 1, Len: 35,
data: ff03c0210c03001f447e217e4d535241532d312d4349...
PPTP: soc select returns rd mask = 0x2
PPTP: cc rcvdata, socket FD=1, new_conn: 0
PPTP: cc rcv 24 bytes of data
Tnl 9 PPTP: CC I 001800011a2b3c4d000f000000090000000000000000...
Tnl/CL 9/9 PPTP: CC I SLI
PPTP: cc waiting for input, max soc FD = 1
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 76, seq 5, ack 4
PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
data: ff03c2230201003a3100000000000000000000000000...
uauth_mschap_send_req: pppdev=1, ulen=4, user=john
6031
uauth_mschap_proc_reply: pppdev = 1, status = 1
PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 161.44.17.104,
Len 22, seq 5, ack 5,
data: 3081880b000640000000000500000005c22303010004
CHAP peer authentication succeeded for john
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 72, seq 6
PPP rcvd, ifc = 0, pppdev: 1, Len: 62,
data: ff03c2230201003a3100000000000000000000000000...
PPP xmit, ifc = 0, Len: 8 data: ff03c22303010004
Interface outside - PPTP xGRE: Out paket, PPP Len 6
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 22,
seq 6, ack 6,
data: 3081880b000640000000000600000006c22303010004
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 7, ack 5
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380fd0104000a120601000001
PPP xmit, ifc = 0, Len: 14
data: ff0380fd0101000a120601000020
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 7, ack 7,
data: 3081880b000c4000000000070000000780fd0101000a...
PPP xmit, ifc = 0, Len: 14
data: ff0380fd0304000a120601000020
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 8, ack 7,
data: 3081880b000c4000000000080000000780fd0304000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 48, seq 8
PPP rcvd, ifc = 0, pppdev: 1, Len: 38,
data: ff038021010500220306000000008106000000008206...
PPP xmit, ifc = 0, Len: 14
data: ff0380210101000a0306ac127c98
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 9, ack 8,
data: 3081880b000c4000000000090000000880210101000a...
PPP xmit, ifc = 0, Len: 32
data: ff0380210405001c8106000000008206000000008306..
.
Interface outside - PPTP xGRE: Out paket, PPP Len 30
outside PPTP: Sending xGRE pak to 161.44.17.104,
Len 46, seq 10, ack 8,
data: 3081880b001e40000000000a0000000880210405001c...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 9, ack 7
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380fd0201000a120601000020
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 10, ack 8
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380fd0106000a120601000020
PPP xmit, ifc = 0, Len: 14
data: ff0380fd0206000a120601000020
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 11, ack 10,
data: 3081880b000c40000000000b0000000a80fd0206000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 11, ack 9
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210201000a0306ac127c98
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 12, ack 10
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210107000a030600000000
PPP xmit, ifc = 0, Len: 14
data: ff0380210307000a0306c0a80101
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104,
Len 28, seq 12, ack 12,
data: 3081880b000c40000000000c0000000c80210307000a...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 24, seq 13
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210108000a030600000000
PPP xmit, ifc = 0, Len: 14
data: ff0380210308000a0306c0a80101
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 13, ack 13,
data: 3081880b000c40000000000d0000000d80210308000a... 0
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 28, seq 14, ack 13
PPP rcvd, ifc = 0, pppdev: 1, Len: 14,
data: ff0380210109000a0306c0a80101
PPP xmit, ifc = 0, Len: 14
data: ff0380210209000a0306c0a80101
Interface outside - PPTP xGRE: Out paket, PPP Len 12
outside PPTP: Sending xGRE pak to 161.44.17.104, Len 28,
seq 14, ack 14,
data: 3081880b000c40000000000e0000000e80210209000a... 2:
PPP virtual interface 1 - user: john aaa authentication started
603103: PPP virtual interface 1 -
user: john aaa authentication succeed
109011: Authen Session Start: user 'joh
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 117, seq 15, ack 14
PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
data: ff0300fd9000bccf59b71755d9af7330dae3bbc94d28...
PPP Encr/Comp Pkt: 9000bccf59b71755d9af7330dae3bbc94d28e431d057...
PPP IP Pkt: 4500006002bb000080117629c0a80101ffffffff0089...
n', sid 3
603104: PPTP Tunnel created, tunnel_id is 9,
remote_peer_ip is 161.44.17.104
ppp_virtual_interface_id is 1,
client_dynamic_ip is 192.168.1.1
username is john, MPPE_key_strength is 40 bits
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 113, seq 16
PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
data: ff0300fd9001f8348351ef9024639ed113b43adfeb44...
PPP Encr/Comp Pkt: 9001f8348351ef9024639ed113b43adfeb4489af5ab3...
PPP IP Pkt: 4500006002bd000080117627c0a80101ffffffff0089...
ide
outside PPTP: Recvd xGRE pak from 161.44.17.104,
Len 113, seq 17
PPP rcvd, ifc = 0, pppdev: 1, Len: 104,
data: ff0300fd9002cc73cd65941744a1cf30318cc4b4b783...
PPP Encr/Comp Pkt: 9002cc73cd65941744a1cf30318cc4b4b783e825698a...
PPP IP Pkt: 4500006002bf000080117625c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 18
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd9003aaa545eaeeda0f82b5999e2fa9ba3245...
PPP Encr/Comp Pkt: 9003aaa545eaeeda0f82b5999e2fa9ba324585a1bc8d...
PPP IP Pkt: 4500006002c1000080117623c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 19
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd90045b35d080900ab4581e64706180e3540e...
PPP Encr/Comp Pkt: 90045b35d080900ab4581e64706180e3540ee15d664a...
PPP IP Pkt: 4500006002c3000080117621c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 20
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd90052878b256edbd17b42f2cb672ba80b40a...
PPP Encr/Comp Pkt: 90052878b256edbd17b42f2cb672ba80b40a79760cef...
PPP IP Pkt: 4500006002c500008011761fc0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 21
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900632359a2c07e79106c5e282e3892e60de...
PPP Encr/Comp Pkt: 900632359a2c07e79106c5e282e3892e60ded6c6d4d1...
PPP IP Pkt: 4500006002c700008011761dc0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 22
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd90070ca6ea48b2ad26987d52a4e109ca68b6...
PPP Encr/Comp Pkt: 90070ca6ea48b2ad26987d52a4e109ca68b6758569d3...
PPP IP Pkt: 4500006002c900008011761bc0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 23
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd90085aba60edf57e50eea4d523596cb9d690...
PPP Encr/Comp Pkt: 90085aba60edf57e50eea4d523596cb9d69057715894...
PPP IP Pkt: 4500006002cb000080117619c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 24
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd90094b73b6c962272b60d32f135b5f29f2a5...
PPP Encr/Comp Pkt: 90094b73b6c962272b60d32f135b5f29f2a58bacd050...
PPP IP Pkt: 4500006002cc000080117618c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 345, seq 25
PPP rcvd, ifc = 0, pppdev: 1, len: 336,
data: ff0300fd900a86307ed9537df5389ea09223d62c20fd...
PPP Encr/Comp Pkt: 900a86307ed9537df5389ea09223d62c20fd9e34072f...
PPP IP Pkt: 4500014802cf00008011752dc0a80101ffffffff0044...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 26
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900b45303a5fe7b2dc3f62db739b4bb1b802...
PPP Encr/Comp Pkt: 900b45303a5fe7b2dc3f62db739b4bb1b80253278fad...
PPP IP Pkt: 4500006002d1000080117613c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 27
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900ceb5aaaecc832df3c12bc6c519c25b4db...
PPP Encr/Comp Pkt: 900ceb5aaaecc832df3c12bc6c519c25b4dba569d161...
PPP IP Pkt: 4500006002d2000080117612c0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 28
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900dbdaaf071c2bd1c92c1f56085813d1a77...
PPP Encr/Comp Pkt: 900dbdaaf071c2bd1c92c1f56085813d1a778cc61c29...
PPP IP Pkt: 4500006002d500008011760fc0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 29
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900e97de47036d95a0721ef6b28479b8efde...
PPP Encr/Comp Pkt: 900e97de47036d95a0721ef6b28479b8efde8e16b398...
PPP IP Pkt: 4500006002d600008011760ec0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 30
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd900f75bf4c8cbcf11464bf52bd7f6155c7d6...
PPP Encr/Comp Pkt: 900f75bf4c8cbcf11464bf52bd7f6155c7d62ea2ca5e...
PPP IP Pkt: 4500006002d900008011760bc0a80101ffffffff0089...
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 113, seq 31
PPP rcvd, ifc = 0, pppdev: 1, len: 104,
data: ff0300fd9010f221e7ba169702765529e4ffa368dba5...
PPP Encr/Comp Pkt: 9010f221e7ba169702765529e4ffa368dba5610921ae...
PPP IP Pkt: 4500006002da00008011760ac0a80101ffffffff0089...
from (192.168.1.1) to 255.255.255.255 on interface outside
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 231, seq 32
PPP rcvd, ifc = 0, pppdev: 1, len: 222,
data: ff0300fd9011c23a03921c1e10ccc38847cb8056fa93...
PPP Encr/Comp Pkt: 9011c23a03921c1e10ccc38847cb8056fa9387018912...
PPP IP Pkt: 450000d602dd000080117591c0a80101ffffffff008a...
side
outside PPTP: Recvd xGRE pak from 161.44.17.104,
len 345, seq 33
PPP rcvd, ifc = 0, pppdev: 1, len: 336,
data: ff0300fd90127d7213f35cd1d82d8988e28e0930ecc1...
PPP Encr/Comp Pkt: 90127d7213f35cd1d82d8988e28e0930ecc1614a993f...
PPP IP Pkt: 4500014802df00008011751dc0a80101ffffffff0044...
Возможные проблемы
PIX и ПК не могут согласовать аутентификацию
В ПК указаны такие протоколы аутентификации, с которыми PIX не может работать (Shiva Password Authentication Protocol (SPAP) и Microsoft CHAP версии 2 (MS-CHAP v.2) вместо версии 1). ПК и PIX не могут договориться об аутентификации. ПК выдает следующее сообщение:
Disconnected - Error 732: Your computer and the remote computer
could not agree on PPP control protocols
PIX и ПК не могут согласовать шифрование
В ПК установлен параметр Encrypted only, а из PIX удалена команда vpdn group 1 ppp encrypt mppe 40 required. ПК и PIX не могут договориться о шифровании, и ПК выдает следующее сообщение:
Error 742 : The remote computer does not support the required
data encryption type.
PIX и ПК не могут согласовать шифрование
В PIX установлен параметр vpdn group 1 ppp encrypt mppe 40 required, а в ПК не разрешено шифрование. В этом случае на ПК не появляется никаких сообщений, однако сеанс прерывается, и отладка PIX выдает следующие выходные данные:
PPTP: Call id 8, no session id protocol: 21,
reason: mppe required but not active, tunnel terminated
603104: PPTP Tunnel created, tunnel_id is 8,
remote_peer_ip is 161.44.17.104
ppp_virtual_interface_id is 1, client_dynamic_ip is 192.168.1.1
username is cisco, MPPE_key_strength is None
603105: PPTP Tunnel deleted, tunnel_id = 8,
remote_peer_ip = 161.44.17.104
Проблема PIX MPPE RADIUS
В PIX установлен параметр vpdn group 1 ppp encrypt mppe 40 required, а ПК для шифрования, разрешенного с аутентификацией на сервер RADIUS, не возвращает ключ MPPE. ПК выдает следующее сообщение:
Error 691: Access was denied because the username
and/or password was invalid on the domain.
Отладка PIX показывает:
2: PPP virtual interface 1 - user: cisco aaa authentication started 603103: PPP virtual interface 1 - user: cisco aaa authentication failed 403110: PPP virtual interface 1, user: cisco missing MPPE key from aaa server 603104: PPTP Tunnel created, tunnel_id is 15, remote_peer_ip is 161.44.17.104 ppp_virtual_interface_id is 1, client_dynamic_ip is 0.0.0.0 username is Unknown, MPPE_key_strength is None 603105: PPTP Tunnel deleted, tunnel_id = 15, remote_peer_ip = 161.44.17.104
ПК выдает следующее сообщение:
Error 691: Access was denied because the username
and/or password was invalid on the domain.
Дополнительные сведения
- Программное обеспечение брандмауэра Cisco PIX
- Справочник по командам для брандмауэра Cisco Secure PIX
- Примечания по продуктам безопасности (включая PIX) для специалистов
- Страница поддержки PPTP
- RFC 2637: Point-to-Point Tunneling Protocol (PPTP)
- Документы RFC
- Техническая поддержка - Cisco Systems
Обратная связь