Ejemplo de Configuración de IPsec entre un Concentrador VPN 3000 y un Cliente VPN 4.x para Windows que usa RADIUS para la Autenticación de Usuario y la Contabilización

Introducción

Este documento describe cómo establecer un túnel IPsec entre un Cisco VPN 3000 Concentrator y un Cisco VPN Client 4.x para Microsoft Windows que utiliza RADIUS para la autenticación y contabilidad de usuario. Este documento recomienda Cisco Secure Access Control Server (ACS) para Windows para que la configuración RADIUS más sencilla autentique a los usuarios que se conectan a un concentrador VPN 3000. Un grupo en un concentrador VPN 3000 es una colección de usuarios tratados como una sola entidad. La configuración de grupos, en lugar de usuarios individuales, puede simplificar la administración del sistema y simplificar las tareas de configuración.

Consulte Ejemplo de Configuración de Autenticación de PIX/ASA 7.x y Cisco VPN Client 4.x para Windows con Microsoft Windows 2003 IAS RADIUS para configurar la conexión VPN de acceso remoto entre un Cisco VPN Client (4.x para Windows) y el PIX 500 Series Security Appliance 7.x que utiliza un servidor RADIUS de Servicio de Autenticación de Internet (IAS) de Microsoft Windows 2003.

Consulte Configuración de IPsec entre un Cisco IOS Router y un Cisco VPN Client 4.x para Windows Usando RADIUS para la Autenticación de Usuario para configurar una conexión entre un router y el Cisco VPN Client 4.x que utiliza RADIUS para la autenticación de usuario.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cisco Secure ACS para Windows RADIUS está instalado y funciona correctamente con otros dispositivos.

• El concentrador VPN 3000 de Cisco está configurado y se puede administrar con la interfaz HTML.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Secure ACS para Windows con la versión 4.0

• Concentrador Cisco VPN serie 3000 con archivo de imagen 4.7.2.B

• Cisco VPN Client 4.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Nota: Los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Utilizar grupos en el concentrador VPN 3000

Los grupos se pueden definir tanto para Cisco Secure ACS para Windows como para el concentrador VPN 3000, pero utilizan grupos de forma algo diferente. Realice estas tareas para simplificar las cosas:

• Configure un único grupo en el VPN 3000 Concentrator para cuando establezca el túnel inicial. Esto se denomina a menudo Grupo de Túnel y se utiliza para establecer una sesión de Intercambio de Claves de Internet (IKE) cifrada en el Concentrador VPN 3000 mediante una clave previamente compartida (la contraseña del grupo). Este es el mismo nombre de grupo y contraseña que se deben configurar en todos los Cisco VPN Clients que deseen conectarse al VPN Concentrator.

• Configure los grupos en el Cisco Secure ACS para el servidor de Windows que utilizan atributos RADIUS estándar y atributos específicos del proveedor (VSA) para la administración de políticas. Los VSA que se deben utilizar con el concentrador VPN 3000 son los atributos RADIUS (VPN 3000).

• Configure los usuarios en el servidor Cisco Secure ACS para Windows RADIUS y asígnelos a uno de los grupos configurados en el mismo servidor. Los usuarios heredan atributos definidos para su grupo y Cisco Secure ACS para Windows envía esos atributos al concentrador VPN cuando el usuario se autentica.

Cómo usa el concentrador VPN 3000 los atributos de grupo y de usuario

Después de que el VPN 3000 Concentrator autentique el Grupo de Túnel con el VPN Concentrator y el usuario con RADIUS, debe organizar los atributos que ha recibido. El concentrador VPN utiliza los atributos en este orden de preferencia, ya sea que la autenticación se realice en el concentrador VPN o con RADIUS:

1. Atributos de usuario: estos atributos siempre tienen prioridad sobre cualquier otro.

2. Atributos del Grupo de Túnel: los atributos del Grupo de Túnel rellenan todos los atributos que no se devuelven cuando se autenticó al usuario.

3. Atributos de grupo base: los atributos de grupo de túnel o usuario rellenan los atributos de grupo base del concentrador VPN.

Configuración del concentrador de la serie VPN 3000

Complete el procedimiento de esta sección para configurar un Cisco VPN 3000 Concentrator para los parámetros requeridos para la conexión IPSec así como el cliente AAA para que el usuario VPN se autentique con el servidor RADIUS.

En esta configuración de laboratorio, se accede primero al concentrador VPN a través del puerto de la consola y se agrega una configuración mínima como muestra este resultado:

Login: admin

!--- The password must be "admin".

Password:*****

                Welcome to
               Cisco Systems
       VPN 3000 Concentrator Series
          Command Line Interface
Copyright (C) 1998-2005 Cisco Systems, Inc.

1) Configuration
2) Administration
3) Monitoring
4) Save changes to Config file
5) Help Information
6) Exit

Main -> 1

1) Interface Configuration
2) System Management
3) User Management
4) Policy Management
5) Tunneling and Security
6) Back

Config -> 1

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces -> 1

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 1

1) Disable
2) Enable using DHCP Client
3) Enable using Static IP Addressing

Ethernet Interface 1 -> [ ] 3

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       DOWN   |       10.1.1.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

> Enter IP Address

Ethernet Interface 1 -> [ 10.1.1.1 ] 172.16.124.1


20 02/14/2007 09:50:18.830 SEV=3 IP/2 RPT=3
IP Interface 1 status changed to Link Down.

21 02/14/2007 09:50:18.830 SEV=3 IP/1 RPT=3
IP Interface 1 status changed to Link Up.

22 02/14/2007 09:50:18.950 SEV=3 IP/1 RPT=4
IP Interface 1 status changed to Link Up.
> Enter Subnet Mask

23 02/14/2007 09:50:19.460 SEV=3 IP/2 RPT=4
IP Interface 1 status changed to Link Down.

Ethernet Interface 1 -> [ 255.255.255.0 ]

1) Interface Setting (Disable, DHCP or Static IP)
2) Set Public Interface
3) Select IP Filter
4) Select Ethernet Speed
5) Select Duplex
6) Set MTU
7) Set Port Routing Config
8) Set Bandwidth Management
9) Set Public Interface IPSec Fragmentation Policy
10) Set Interface WebVPN Parameters
11) Back

Ethernet Interface 1 -> 11

This table shows current IP addresses.

  Intf         Status       IP Address/Subnet Mask          MAC Address
-------------------------------------------------------------------------------
Ether1-Pri|       Up     |   172.16.124.1/255.255.255.0  | 00.03.A0.89.BF.D0
Ether2-Pub|Not Configured|        0.0.0.0/0.0.0.0        |
Ether3-Ext|Not Configured|        0.0.0.0/0.0.0.0        |
-------------------------------------------------------------------------------
DNS Server(s): DNS Server Not Configured
DNS Domain Name:
Default Gateway: Default Gateway Not Configured

1) Configure Ethernet #1 (Private)
2) Configure Ethernet #2 (Public)
3) Configure Ethernet #3 (External)
4) Configure Power Supplies
5) Back

Interfaces ->

El concentrador VPN aparece en Configuración rápida y estos elementos están configurados.

• Fecha/hora

• Interfaces/Masks in Configuration > Interfaces (public=10.0.0.1/24, private=172.16.124.1/24)

• Gateway predeterminado en Configuración > Sistema > IP Routing > Default_Gateway (10.0.0.2)

En este momento, el VPN Concentrator es accesible a través de HTML desde la red interna.

Nota: Si el concentrador VPN se administra desde afuera, también realice estos pasos:

1. Elija Configuration > 1-Interfaces > 2-Public > 4-Select IP Filter > 1. Private (Default).

2. Elija Administration > 7-Access Rights > 2-Access Control List > 1-Add Manager Workstation para agregar la dirección IP del administrador externo.

Estos pasos sólo son necesarios si administra el VPN Concentrator desde afuera.

Una vez que haya completado estos dos pasos, el resto de la configuración se puede realizar a través de la GUI usando un navegador web y conectándose a la IP de la interfaz que acaba de configurar. En este ejemplo y en este punto, se puede acceder al concentrador VPN a través de HTML desde la red interna:

1. Elija Configuration > Interfaces para volver a verificar las interfaces después de activar la GUI.

   

2. Complete estos pasos para agregar el servidor Cisco Secure ACS para Windows RADIUS a la configuración del concentrador VPN 3000.

   1. Elija Configuration > System > Servers > Authentication, y haga clic en Add en el menú de la izquierda.

      

   2. Elija el tipo de servidor RADIUS y agregue estos parámetros para su Cisco Secure ACS para el servidor RADIUS de Windows. Deje todos los demás parámetros en su estado predeterminado.

      • Servidor de autenticación: introduzca la dirección IP del servidor Cisco Secure ACS para Windows RADIUS.

      • Secreto de servidor: introduzca el secreto de servidor RADIUS. Este debe ser el mismo secreto que utiliza cuando configura el VPN 3000 Concentrator en la configuración de Cisco Secure ACS para Windows.

      • Verificar: vuelva a introducir la contraseña para verificarla.

        Esto agrega el servidor de autenticación en la configuración global del concentrador VPN 3000. Todos los grupos utilizan este servidor, excepto cuando se ha definido específicamente un servidor de autenticación. Si un servidor de autenticación no está configurado para un grupo, vuelve al servidor de autenticación global.

3. Complete estos pasos para configurar el Grupo de Túnel en el Concentrador VPN 3000.

   1. Elija Configuration > User Management > Groups en el menú izquierdo y haga clic en Add.

   2. Cambie o agregue estos parámetros en las fichas Configuración. No haga clic en Aplicar hasta que cambie todos estos parámetros:

      Nota: Estos parámetros son el mínimo necesario para las conexiones VPN de acceso remoto. Estos parámetros también suponen que la configuración predeterminada en el grupo base en el concentrador VPN 3000 no se ha cambiado.

      Identidad

      

      • Nombre de grupo: escriba un nombre de grupo. Por ejemplo, IPsecUsers.

      • Contraseña: introduzca una contraseña para el grupo. Esta es la clave previamente compartida para la sesión IKE.

      • Verificar: vuelva a introducir la contraseña para verificarla.

      • Tipo: deje esto como valor predeterminado: Interno.

      IPsec

      

      • Tipo de túnel: Elija Remote-Access.

      • Autenticación: RADIUS. Esto le dice al concentrador VPN qué método usar para autenticar a los usuarios.

      • Configuración de modo: verifique la configuración de modo.

   3. Haga clic en Apply (Aplicar).

4. Complete estos pasos para configurar varios servidores de autenticación en el VPN 3000 Concentrator.

   1. Una vez definido el grupo, resalte ese grupo y haga clic en Servidores de autenticación en la columna Modificar. Los servidores de autenticación individuales se pueden definir para cada grupo incluso si estos servidores no existen en los servidores globales.

      

   2. Elija el tipo de servidor RADIUS y agregue estos parámetros para su Cisco Secure ACS para el servidor RADIUS de Windows. Deje todos los demás parámetros en su estado predeterminado.

      • Servidor de autenticación: introduzca la dirección IP del servidor Cisco Secure ACS para Windows RADIUS.

      • Secreto de servidor: introduzca el secreto de servidor RADIUS. Este debe ser el mismo secreto que utiliza cuando configura el VPN 3000 Concentrator en la configuración de Cisco Secure ACS para Windows.

      • Verificar: vuelva a introducir la contraseña para verificarla.

5. Elija Configuration > System > Address Management > Assignment y marque Use Address from Authentication Server para asignar la dirección IP a los clientes VPN del conjunto IP creado en el servidor RADIUS una vez que el cliente se autentica.

   

Configuración del servidor de RADIUS

Esta sección del documento describe el procedimiento necesario para configurar Cisco Secure ACS como servidor RADIUS para la autenticación de usuario de VPN Client reenviado por el Cisco VPN 3000 Series Concentrator - AAA client.

Haga doble clic en el icono ACS Admin para iniciar la sesión de administración en el PC que ejecuta Cisco Secure ACS para el servidor RADIUS de Windows. Inicie sesión con el nombre de usuario y la contraseña adecuados, si es necesario.

1. Complete estos pasos para agregar el concentrador VPN 3000 a la configuración del servidor Cisco Secure ACS para Windows.

   1. Elija Network Configuration y haga clic en Add Entry para agregar un cliente AAA al servidor RADIUS.

      

      Agregue estos parámetros para su concentrador VPN 3000:

      

      • Nombre de host del cliente AAA: introduzca el nombre de host del concentrador VPN 3000 (para la resolución de DNS).

      • Dirección IP del cliente AAA: introduzca la dirección IP de su concentrador VPN 3000.

      • Key: Introduzca el secreto del servidor RADIUS. Este debe ser el mismo secreto que configuró cuando agregó el servidor de autenticación en el concentrador VPN.

      • Autentique Usando: Elija RADIUS (Cisco VPN 3000/ASA/PIX 7.x+). Esto permite que los VSA de VPN 3000 se muestren en la ventana de configuración de grupo.

   2. Haga clic en Submit (Enviar).

   3. Elija Interface Configuration, haga clic en RADIUS (Cisco VPN 3000/ASA/PIX 7.x+) y verifique Group [26] Vendor-Specific.

      

      Nota: 'atributo RADIUS 26' se refiere a todos los atributos específicos del proveedor. Por ejemplo, elija Interface Configuration > RADIUS (Cisco VPN 3000) y vea que todos los atributos disponibles comienzan con 026. Esto muestra que todos estos atributos específicos del proveedor caen bajo el estándar IETF RADIUS 26. Estos atributos no aparecen de forma predeterminada en la configuración de usuario o grupo. Para aparecer en la configuración de grupo, cree un cliente AAA (en este caso, el concentrador VPN 3000) que se autentique con RADIUS en la configuración de red. A continuación, verifique los atributos que deben aparecer en User Setup (Configuración de usuario), Group Setup (Configuración de grupo) o en ambos de la configuración Interface (Interfaz).

      Consulte Atributos RADIUS para obtener más información sobre los atributos disponibles y su uso.

   4. Haga clic en Submit (Enviar).

2. Complete estos pasos para agregar grupos a la configuración de Cisco Secure ACS para Windows.

   1. Elija Group Setup, luego seleccione uno de los grupos de plantillas, por ejemplo, Group 1, y haga clic en Rename Group.

      

      Cambie el nombre a algo adecuado para su organización. por ejemplo, ipsecgroup. Dado que los usuarios se agregan a estos grupos, haga que el nombre del grupo refleje el propósito real de ese grupo. Si todos los usuarios se colocan en el mismo grupo, puede llamarlo Grupo de Usuarios de VPN.

   2. Haga clic en Editar configuración para editar los parámetros en su grupo recién renombrado.

      

   3. Haga clic en Cisco VPN 3000 RADIUS y configure estos atributos recomendados. Esto permite a los usuarios asignados a este grupo heredar los atributos RADIUS de Cisco VPN 3000, lo que le permite centralizar las políticas para todos los usuarios en Cisco Secure ACS para Windows.

      

      Nota: Técnicamente, los atributos RADIUS VPN 3000 no son necesarios para ser configurados mientras el Grupo de Túnel esté configurado en el paso 3 de la Configuración del Concentrador VPN 3000 Series y el Grupo Base en el Concentrador VPN no cambie de la configuración predeterminada original.

      Atributos de VPN 3000 recomendados:

      • Primary-DNS: introduzca la dirección IP del servidor DNS principal.

      • Secondary-DNS: Introduzca la dirección IP del servidor DNS secundario.

      • Primary-WINS: introduzca la dirección IP del servidor WINS principal.

      • Secondary-WINS: introduzca la dirección IP del servidor WINS secundario.

      • Tunelización-Protocolos: Elija IPsec. Esto permite solamente conexiones de cliente IPsec. No se permiten PPTP o L2TP.

      • IPsec-Sec-Association: introduzca ESP-3DES-MD5. Esto garantiza que todos sus clientes IPsec se conecten con el cifrado más alto disponible.

      • IPsec-Allow-Password-Store: elija Disallow para que los usuarios no puedan guardar su contraseña en VPN Client.

      • Banner IPsec: introduzca un banner de mensaje de bienvenida que se presentará al usuario al conectarse. Por ejemplo, "¡Bienvenido al acceso VPN de empleados de MyCompany!"

      • IPsec-Default Domain: introduzca el nombre de dominio de su empresa. Por ejemplo, "miempresa.com".

      Este conjunto de atributos no es necesario. Pero si no está seguro de si los atributos del grupo base del concentrador VPN 3000 han cambiado, Cisco recomienda que configure estos atributos:

      • Registros simultáneos: introduzca el número de veces que permite que un usuario inicie sesión simultáneamente con el mismo nombre de usuario. La recomendación es 1 ó 2.

      • SEP-Card-Assignment: Elija Any-SEP.

      • IPsec-Mode-Config: elija ON.

      • IPSec sobre UDP: elija OFF, a menos que desee que los usuarios de este grupo se conecten usando IPSec sobre el protocolo UDP. Si selecciona ON (Encendido), el VPN Client todavía tiene la capacidad de inhabilitar localmente IPsec sobre UDP y conectarse normalmente.

      • IPSec sobre puerto UDP: seleccione un número de puerto UDP en el rango de 4001 a 49151. Esto se utiliza solamente si IPSec sobre UDP está ACTIVADO.

      El siguiente conjunto de atributos requiere que configure algo en el concentrador VPN antes de poder usarlos. Esto solo se recomienda para usuarios avanzados.

      • Horas de acceso: Esto requiere que configure un rango de Horas de acceso en el concentrador VPN 3000 bajo Configuración > Administración de políticas. En su lugar, utilice Horas de acceso disponibles en Cisco Secure ACS para Windows para administrar este atributo.

      • IPsec-Split-Tunnel-List: Esto requiere que configure una Lista de Red en el Concentrador VPN bajo Configuration > Policy Management > Traffic Management. Esta es una lista de redes enviadas al cliente que le dicen al cliente que cifre los datos sólo a aquellas redes de la lista.

   4. Elija la asignación IP en la configuración del grupo y verifique Asignado desde el grupo de servidores AAA para asignar las direcciones IP a los usuarios del cliente VPN una vez que se autentican.

      

      Elija Configuración del sistema > Grupos IP para crear un pool IP para los usuarios de VPN Client y haga clic en Enviar .

      

      

   5. Elija Submit > Restart para guardar la configuración y activar el nuevo grupo.

   6. Repita estos pasos para agregar más grupos.

3. Configure a los usuarios en Cisco Secure ACS para Windows.

   1. Elija User Setup, ingrese un nombre de usuario y haga clic en Add/Edit.

      

   2. Configure estos parámetros en la sección de configuración del usuario:

      

      • Autenticación de Contraseña: Elija Base de Datos Interna ACS.

      • Cisco Secure PAP - Contraseña: introduzca una contraseña para el usuario.

      • Cisco Secure PAP - Confirmar contraseña: vuelva a introducir la contraseña para el nuevo usuario.

      • Grupo al que se asigna el usuario: seleccione el nombre del grupo que creó en el paso anterior.

   3. Haga clic en Enviar para guardar y activar la configuración del usuario.

   4. Repita estos pasos para agregar usuarios adicionales.

Asignar una dirección IP estática al usuario de cliente VPN

Complete estos pasos:

1. Cree un nuevo grupo VPN IPSECGRP.

2. Cree un usuario que desee recibir la IP estática y elija IPSECGRP. Elija Asignar dirección IP estática con la dirección IP estática asignada bajo la Asignación de Dirección IP del Cliente.

   

Configuración de cliente VPN

Esta sección describe la configuración del lado VPN Client.

1. Elija Inicio > Programas > Cisco Systems VPN Client > VPN Client.

2. Haga clic en Nuevo para iniciar la ventana Create New VPN Connection Entry .

   

3. Cuando se le indique, asigne un nombre a su entrada. Si lo desea, también puede ingresar una descripción. Especifique la dirección IP de la interfaz pública del concentrador VPN 3000 en la columna Host y elija Group Authentication. A continuación, proporcione el nombre y la contraseña del grupo. Haga clic en Guardar para completar la nueva entrada de conexión VPN.

   

   Nota: Asegúrese de que VPN Client esté configurado para utilizar el mismo nombre de grupo y contraseña configurados en Cisco VPN 3000 Series Concentrator.

Agregar contabilidad

Después de que la autenticación funcione, puede agregar contabilidad.

1. En el VPN 3000, elija Configuration > System > Servers > Accounting Servers y agregue el Cisco Secure ACS para Windows server.

2. Puede agregar servidores de contabilidad individuales a cada grupo cuando elija Configuration > User Management > Groups, resalte un grupo y haga clic en Modify Act. Servidores. A continuación, introduzca la dirección IP del servidor de contabilidad con el secreto del servidor.

   

   En Cisco Secure ACS para Windows, los registros contables aparecen como se muestra en este resultado:

   

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Verifique el concentrador VPN

En el lado del concentrador VPN 3000, elija Administration > Administre Sesiones para verificar el establecimiento remoto del túnel VPN.

Verifique el VPN Client

Complete estos pasos para verificar el VPN Client.

1. Haga clic en Connect para iniciar una conexión VPN.

   

2. Esta ventana aparece para la autenticación de usuario. Introduzca un nombre de usuario y una contraseña válidos para establecer la conexión VPN.

   

3. El VPN Client se conecta con el VPN 3000 Concentrator en el sitio central.

   

4. Elija Status > Statistics para verificar las estadísticas de túnel del VPN Client.

   

Troubleshoot

Complete estos pasos para resolver los problemas de configuración.

1. Elija Configuration > System > Servers > Authentication y complete estos pasos para probar la conectividad entre el servidor RADIUS y el concentrador VPN 3000.

   1. Seleccione su servidor y, a continuación, haga clic en Prueba.

      

   2. Ingrese el nombre de usuario y la contraseña RADIUS y haga clic en Aceptar.

      

      Aparece una autenticación correcta.

      

2. Si falla, hay un problema de configuración o de conectividad IP. Verifique el registro de intentos fallidos en el servidor ACS para los mensajes relacionados con el error.

   • Si no aparece ningún mensaje en este registro, es probable que haya un problema de conectividad IP. La solicitud RADIUS no llega al servidor RADIUS. Verifique que los filtros aplicados a la interfaz del concentrador VPN 3000 apropiada permitan la entrada y salida de paquetes RADIUS (1645).

   • Si la autenticación de prueba es exitosa, pero los inicios de sesión en el VPN 3000 Concentrator continúan fallando, verifique el Registro de Eventos Filtrable a través del puerto de la consola.

   Si las conexiones no funcionan, puede agregar clases de eventos AUTH, IKE e IPsec al concentrador VPN cuando selecciona Configuration > System > Events > Classes > Modify (Gravedad to Log=1-9, Gravedad to Console=1-3). AUTHDBG, AUTHDECODE, IKEDBG, IKEDECODE, IPSECDBG e IPSECDECODE también están disponibles, pero pueden proporcionar demasiada información. Si se necesita información detallada sobre los atributos que se transmiten desde el servidor RADIUS, AUTHDECODE, IKEDECODE e IPSECDECODE proporcionan esto en el nivel Gravedad a Log=1-13.

3. Recupere el registro de eventos de Monitoring > Event Log.

   

Solución de problemas de VPN Client 4.8 para Windows

Complete estos pasos para resolver problemas de VPN Client 4.8 para Windows.

1. Elija Log > Log settings para habilitar los niveles de registro en VPN Client.

   

2. Elija Log > Log Window para ver las entradas de registro en VPN Client.

   

Información Relacionada

• Página de soporte del concentrador de la serie Cisco VPN 3000
• Página de soporte para cliente Cisco VPN
• Negociación IPSec/Protocolos IKE
• Página de soporte de Cisco Secure ACS para Windows
• Configuración de Filtros Dinámicos en un Servidor RADIUS
• Soporte Técnico y Documentación - Cisco Systems