Tento článek ukazuje, jak řešit problémy s tunelem L2TP VPN přes IPSec pomocí USG FLEX / ATP / VPN Series, pokud máte potíže. Ukazuje, co dělat v případě nesprávného uživatelského jména nebo hesla, nesouladu fáze 1, nesouladu fáze 2, překryvu podsítí, kdy lze dosáhnout brány/firewallu, ale ne klientů LAN, když je VPN připojení blokováno, a pokud Windows nemohou připojit k L2TP.
Řešení problémů s bránou
Následující informace popisují, jak řešit běžné problémy, které jsme identifikovali při nastavování L2TP přes IPSec VPN.
1.0 Nesprávné uživatelské jméno nebo heslo
Pokud vidíte v protokolu zprávy [alert] jako níže, zkontrolujte prosím nastavení Firewallu L2TP povolených uživatelů nebo nastavení uživatelů/skupin. Nastavení klientského zařízení musí používat stejné uživatelské jméno a heslo, jaké jsou nakonfigurovány ve Firewallu pro navázání L2TP VPN
1.1 Nesoulad fáze 1
Pokud vidíte v protokolu zprávu [info] nebo [error] jako níže, zkontrolujte prosím nastavení fáze 1 ve Firewallu. Nastavení klientského zařízení musí používat stejný předem sdílený klíč (Pre-Shared Key) jako je nakonfigurován ve Firewallu pro navázání IKE SA.
1.2 Nesoulad fáze 2
Pokud vidíte, že proces fáze 1 IKE SA byl dokončen, ale stále dostáváte v protokolu zprávu [info] jako níže, zkontrolujte prosím nastavení fáze 2 ve Firewallu. Firewall musí nastavit správnou lokální politiku pro navázání IKE SA.
1.3 Překryv podsítí
Při konfiguraci VPN je nutné zajistit, aby L2TP adresní pool nekolidoval s žádnou existující zónou LAN1, LAN2, DMZ nebo WLAN, i když nejsou používány.
1.4 Lze dosáhnout brány, ale ne klientů LAN
Pokud nemůžete přistupovat k zařízením v místní síti, ověřte, že zařízení v místní síti mají nastavenou IP adresu USG jako výchozí bránu pro využití L2TP tunelu.
1.5 Povolení VPN protokolů v pravidlech firewallu
Ujistěte se, že bezpečnostní politiky firewallu povolují provoz IPSec VPN. Zajistěte, že jste povolili následující porty pro váš IPsec provoz (včetně provozu z WAN do Zywall): IKE používá UDP port 500, NAT-T používá UDP port 4500, ESP používá IP protokol 50 a AH používá IP protokol 51.
1.6 VPN zahrnuta v zóně IPsec_VPN
Ověřte, že zóna je správně nastavena v pravidle připojení VPN. Měla by být nastavena na zónu IPSec_VPN, aby byly bezpečnostní politiky správně aplikovány.
1.7 Výběr správného WAN připojení
- Pokud používáte připojení PPPoE, ujistěte se, že konfigurujete stejně: "Konfigurace > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", kde by měla být v položce My address vybrána „wan_ppp“ v rozhraní - viz níže;
1.8 Další konfigurační problémy
Další běžné konfigurační problémy jsou podrobně popsány zde:
Řešení problémů ve Windows - Konfigurace PC s MS-CHAPv2
Ve Windows 10 přejděte do Nastavení (Ovládací panely) -> Síť a internet -> Změnit nastavení adaptéru
Přejděte na záložku Zabezpečení a poté vyberte "Povolit tyto protokoly" a zvolte "Nešifrované heslo (PAP) a Microsoft CHAP Verze 2 (MS-CHAPv2)"
2.2 Ukončení SecuExtender IPSec VPN klienta
Pokud se připojení ani neotevře a v protokolech firewallu nevidíte nic, ujistěte se, že IPSec VPN klient neběží na pozadí, protože to může zasahovat do vestavěného L2TP připojení.
Pokud běží na pozadí, ukončete prosím aplikaci a zkuste se znovu připojit.
2.3 Ujistěte se, že služba IKEEXT běží
Pokud se nemůžete připojit ze svého PC, ale z jiných zařízení ano, může to být způsobeno tím, že služba IKE neběží na pozadí.
Otevřete Správce úloh kliknutím na ctrl-alt-del a poté vyberte Správce úloh.
Kontaktujte náš tým podpory, pokud máte jiný typ problému, který zde není pokryt.
Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.