Comment configurer le PPTP du concentrateur VPN 3000 avec l'authentification locale

Options de téléchargement

  • PDF     (547.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (445.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (850.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:6 décembre 2006
ID du document:14101

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Le concentrateur Cisco VPN 3000 prend en charge la méthode de fractionnement en canaux PPTP (Point-to-Point Tunnel Protocol) pour les clients Windows natifs. Ces concentrateurs VPN prennent en charge le cryptage 40 bits et 128 bits pour une connexion sécurisée et fiable.

Référez-vous à Configuration du concentrateur VPN 3000 PPTP avec l'authentification Cisco Secure ACS pour Windows RADIUS afin de configurer le concentrateur VPN pour les utilisateurs PPTP avec l'authentification étendue à l'aide de Cisco Secure Access Control Server (ACS).

Conditions préalables

Exigences

Assurez-vous que vous remplissez les conditions requises mentionnées dans Quand le cryptage PPTP est-il pris en charge sur un concentrateur Cisco VPN 3000 ? avant d'essayer cette configuration.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Concentrateur VPN 3015 avec version 4.0.4.A

  • PC Windows avec client PPTP

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

altigapptp-diag.gif

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configuration du concentrateur VPN 3000 avec authentification locale

Complétez ces étapes pour configurer le concentrateur VPN 3000 avec l'authentification locale.

  1. Configurez les adresses IP respectives dans le concentrateur VPN et assurez-vous que vous disposez d'une connectivité.

  2. Assurez-vous que l'authentification PAP est sélectionnée dans l'onglet Configuration > User Management > Base Group PPTP/L2TP.

    altigapptp-1.gif

  3. Sélectionnez Configuration > System > Tunneling Protocols > PPTP et assurez-vous que Enabled est coché.

    altigapptp-2.gif

  4. Sélectionnez Configuration > User Management > Groups > Add, et configurez un groupe PPTP. Dans cet exemple, le nom du groupe est « pptpgroup » et le mot de passe (et le mot de passe de vérification) est « cisco123 ».

    altigapptp-3.gif

  5. Sous l'onglet Général du groupe, assurez-vous que l'option PPTP est activée dans les protocoles d'authentification.

    altigapptp-4a.gif

    altigapptp-4b.gif

  6. Sous l'onglet PPTP/L2TP, activez l'authentification PAP et désactivez le chiffrement (le chiffrement peut être activé à tout moment dans le futur).

    altigapptp-5.gif

  7. Sélectionnez Configuration > User Management > Users > Add, et configurez un utilisateur local (appelé « pptpuser ») avec le mot de passe cisco123 pour l'authentification PPTP. Placez l'utilisateur dans le « pptpgroup » précédemment défini :

    altigapptp-6.gif

  8. Sous l'onglet General de l'utilisateur, assurez-vous que l'option PPTP est activée dans les protocoles de tunneling.

    altigapptp-7.gif

  9. Sélectionnez Configuration > System > Address Management > Pools pour définir un pool d'adresses pour la gestion des adresses.

    altigapptp-8.gif

  10. Sélectionnez Configuration > System > Address Management > Assignment et demandez au concentrateur VPN d'utiliser le pool d'adresses.

    altigapptp-9.gif

Configuration du client Microsoft PPTP

Remarque : aucune des informations disponibles ici sur la configuration des logiciels Microsoft n'est fournie avec une garantie ou une assistance pour les logiciels Microsoft. La prise en charge des logiciels Microsoft est disponible auprès de Microsoftleavingcisco.com.

Windows 98 - Installation et configuration de la fonctionnalité PPTP

Install 

Complétez ces étapes pour installer la fonctionnalité PPTP.

  1. Sélectionnez Démarrer > Paramètres > Panneau de configuration > Ajout de nouveau matériel (Suivant) > Sélectionner dans la liste > Carte réseau (Suivant).

  2. Sélectionnez Microsoft dans le panneau de gauche et Microsoft VPN Adapter dans le panneau de droite.

Configurer

Complétez ces étapes pour configurer la fonctionnalité PPTP.

  1. Sélectionnez Démarrer > Programmes > Accessoires > Communications > Accès réseau à distance > Établir une nouvelle connexion.

  2. Connectez-vous à l'aide de l'adaptateur VPN Microsoft à l'invite Select a device. L'adresse IP du serveur VPN est le point d'extrémité du tunnel 3000.

L'authentification par défaut de Windows 98 utilise le chiffrement de mot de passe (par exemple, CHAP ou MSCHAP). Afin de désactiver initialement ce cryptage, sélectionnez Propriétés > Types de serveur, et décochez les cases Mot de passe crypté et Exiger le cryptage des données.

Windows 2000 - Configuration de la fonctionnalité PPTP

Complétez ces étapes pour configurer la fonctionnalité PPTP.

  1. Sélectionnez Démarrer > Programmes > Accessoires > Communications > Connexions réseau et accès à distance > Établir une nouvelle connexion.

  2. Cliquez sur Next, et sélectionnez Connect to a private network through the Internet > Dial a connection prior (ne sélectionnez pas cette option si vous utilisez un réseau local).

  3. Cliquez à nouveau sur Next, et entrez le nom d'hôte ou l'adresse IP du point d'extrémité du tunnel, qui est l'interface externe du concentrateur VPN 3000. Dans cet exemple, l'adresse IP est 161.44.17.1.

Sélectionnez Properties > Security pour la connexion > Advanced pour ajouter un type de mot de passe comme PAP. La valeur par défaut est MSCHAP et MSCHAPv2, et non CHAP ou PAP.

Le cryptage des données est configurable dans cette zone. Vous pouvez le désactiver initialement.

Windows NT

Vous pouvez accéder à des informations sur la configuration des clients Windows NT pour PPTP sur le site Web de Microsoftleavingcisco.com.

Windows Vista

Complétez ces étapes pour configurer la fonctionnalité PPTP.

  1. Dans le bouton Démarrer, sélectionnez Se connecter à.

  2. Sélectionnez Configurer une connexion ou un réseau.

  3. Choisissez Connexion à un espace de travail et cliquez sur Suivant.

  4. Sélectionnez Utiliser ma connexion Internet (VPN).

    Remarque : si vous êtes invité à indiquer « Voulez-vous utiliser une connexion que vous possédez déjà », sélectionnez Non, créez une nouvelle connexion et cliquez sur Suivant.

  5. Dans le champ Internet Address, tapez pptp.vpn.univ.edu, par exemple.

  6. Dans le champ Destination Name, saisissez UNIVVPN, par exemple.

  7. Dans le champ User Name, saisissez votre ID de connexion UNIV. Votre ID de connexion UNIV est la partie de votre adresse e-mail avant @univ.edu.

  8. Dans le champ Password, saisissez votre mot de passe UNIV Logon ID.

  9. Cliquez sur le bouton Create, puis sur le bouton Close.

  10. Afin de vous connecter au serveur VPN après avoir créé la connexion VPN, cliquez sur Start, puis Connect to.

  11. Choisissez la connexion VPN dans la fenêtre et cliquez sur Connect.

Ajouter MPPE (cryptage)

Assurez-vous que la connexion PPTP fonctionne sans cryptage avant d'ajouter le cryptage. Par exemple, cliquez sur le bouton Connect sur le client PPTP pour vous assurer que la connexion est terminée. Si vous décidez d'exiger le chiffrement, l'authentification MSCHAP doit être utilisée. Sur le VPN 3000, sélectionnez Configuration > User Management > Groups. Ensuite, sous l'onglet PPTP/L2TP pour le groupe, décochez PAP, cochez MSCHAPv1, et cochez Required for PPTP Encryption.

altigapptp-10.gif

Le client PPTP doit être reconfiguré pour le chiffrement de données facultatif ou obligatoire et MSCHAPv1 (s'il s'agit d'une option).

Vérifier

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Vérification du concentrateur VPN

Vous pouvez démarrer la session PPTP en composant le numéro du client PPTP créé précédemment dans la section Configuration du client PPTP Microsoft.

Utilisez la fenêtre Administration >Administrez des sessions sur le concentrateur VPN pour afficher les paramètres et les statistiques de toutes les sessions PPTP actives.

Vérification du PC

Émettez la commande ipconfig dans le mode de commande du PC pour voir que le PC a deux adresses IP. L'une est sa propre adresse IP et l'autre est attribuée par le concentrateur VPN à partir du pool d'adresses IP. Dans cet exemple, l'adresse IP 172.16.1.10 est l'adresse IP attribuée par le concentrateur VPN.

altigapptp-15.gif

Déboguer

Si la connexion ne fonctionne pas, le débogage de la classe d'événements PPTP peut être ajouté au concentrateur VPN. Sélectionnez Configuration > System > Events > Classes > Modify or Add (affiché ici). Les classes d'événements PPTPDBG et PPTPDECODE sont également disponibles, mais elles peuvent fournir trop d'informations.

altigapptp-11.gif

Le journal des événements peut être récupéré à partir de Monitoring > Filterable Event Log.

altigapptp-12.gif

Débogage VPN 3000 - Authentification correcte 

1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 
   User [pptpuser]
   Authenticated successfully with MSCHAP-V1

4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 
   User [pptpuser] Group [Base Group] connected, Session Type: PPTP

Cliquez sur la fenêtre PPTP user status Details pour vérifier les paramètres sur le PC Windows.

altigapptp-16.gif

Dépannage

Voici les erreurs que vous pouvez rencontrer :

  • Nom d'utilisateur ou mot de passe incorrect

    Sortie de débogage du concentrateur VPN 3000 : 

    1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 established

2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 
   Session started on tunnel 171.69.89.129

3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 
   Authentication rejected: Reason = User was not found
   handle = 44, server = (none), user = pptpusers, domain = <not specified>

5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 
   User [pptpusers]
   disconnected.. failed authentication ( MSCHAP-V1 )

6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 
   Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761),    
   reason: Error (No additional info)

8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 
   Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)

    Le message que l'utilisateur voit (à partir de Windows 98) : 

    Error 691: The computer you have dialed in to has denied access 
because the username and/or password is invalid on the domain.

    Le message que l'utilisateur voit (à partir de Windows 2000) :

    Error 691: Access was denied because the username and/or 
password was invalid on the domain.

  • « Chiffrement requis » est sélectionné sur le PC, mais pas sur le concentrateur VPN

    Le message que l'utilisateur voit (à partir de Windows 98) : 

    Error 742: The computer you're dialing in to does not support the data 
encryption requirements specified. 
Please check your encryption settings in the properties of the connection. 
If the problem persists, contact your network administrator.

    Le message que l'utilisateur voit (depuis Windows 2000) : 

    Error 742: The remote computer does not support 
the required data encryption type

  • « Chiffrement requis » (128 bits) est sélectionné sur le concentrateur VPN avec un PC qui prend uniquement en charge le chiffrement 40 bits

    Sortie de débogage du concentrateur VPN 3000 : 

    4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. 
PPTP Encryption configured as REQUIRED.. remote client not supporting it.

    Le message que l'utilisateur voit (à partir de Windows 98) : 

    Error 742:  The remote computer does not support 
the required data encryption type.

    Le message que l'utilisateur voit (depuis Windows 2000) : 

    Error 645 Dial-Up Networking could not complete the connection to the server.  
Check your configuration and try the connection again.

  • Le concentrateur VPN 3000 est configuré pour MSCHAPv1 et le PC est configuré pour PAP, mais ils ne peuvent pas convenir d'une méthode d'authentification

    Sortie de débogage du concentrateur VPN 3000 : 

    8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 

User [pptpuser] disconnected. Authentication protocol not allowed.

    Le message que l'utilisateur voit (depuis Windows 2000) : 

    Error 691:  Access was denied because the username and/or password 
was invalid on the domain.

Problèmes Microsoft possibles à résoudre

  • Comment maintenir des connexions RAS actives après fermeture de session

    Lorsque vous vous déconnectez d'un client Windows Remote Access Service (RAS), toutes les connexions RAS sont automatiquement déconnectées. Activez la clé KeepRasConnections dans le Registre sur le client RAS pour rester connecté après la fermeture de session. Référez-vous à l'article de la base de connaissances Microsoft - 158909leavingcisco.com pour plus d'informations.

  • L'utilisateur n'est pas alerté en ouvrant une session avec les informations d'identification mises en cache

    Les symptômes de ce problème se produisent lorsque vous tentez de vous connecter à un domaine à partir d'une station de travail Windows ou d'un serveur membre et qu'un contrôleur de domaine est introuvable et qu'aucun message d'erreur ne s'affiche. Au lieu de cela, vous ouvrez une session sur l'ordinateur local à l'aide des informations d'identification mises en cache. Référez-vous à l'article de la base de connaissances Microsoft - 242536leavingcisco.com pour plus d'informations.

  • Procédures pour écrire un fichier LMHOSTS pour la validation de domaine et autres problèmes de résolution de noms

    Il peut arriver que vous rencontriez des problèmes de résolution de noms sur votre réseau TCP/IP et que vous deviez utiliser des fichiers LMHOSTS pour résoudre des noms NetBIOS. Cet article décrit la méthode appropriée utilisée pour créer un fichier LMHOSTS afin de faciliter la résolution de noms et la validation de domaines. Référez-vous à l'article de la base de connaissances Microsoft - 18094leavingcisco.com pour plus d'informations.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
11-Dec-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco