VPN - Fejlfinding af L2TP VPN over IPSec

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Denne artikel viser, hvordan du fejlsøger din L2TP VPN over IPSec-tunnel ved hjælp af USG FLEX / ATP / VPN Series, hvis du har problemer. Den viser, hvad du skal gøre, hvis du har forkert brugernavn eller adgangskode, fase 1 mismatch, fase 2 mismatch, subnet overlap, kan nå gateway/firewall, men ikke LAN-klienter, når VPN-forbindelsen er blokeret, og hvis Windows ikke kan oprette forbindelse til L2TP.

Indholdsfortegnelse

1) Fejlfinding på gateway

1.1 Forkert brugernavn eller adgangskode

1.2 Fase 1-mismatch

1.3 Overlapning af undernet

1.4 Kan nå gateway, men ikke LAN-klienter

1.5 Tillad VPN-protokollerne i firewall-reglerne

1.6 VPN inkluderet i IPsec_VPN-zonen

1.7 Valg af den korrekte WAN-forbindelse

1.7 Andre problemer med konfigurationen

2) Fejlfinding i Windows

2.1 Konfiguration af din pc med MS-CHAPv2

2.2 Afslut SecuExtender IPSec VPN-klient

2.3 Sørg for, at IKEEXT-tjenesten kører

1) Fejlfindinggateway

Følgende giver oplysninger om, hvordan man fejlsøger almindelige problemer, som vi har identificeret under opsætning af L2TP over IPSec VPN.

1.1 Forkert brugernavn eller adgangskode

Hvis du ser [alert]-logmeddelelser som nedenstående, skal du kontrollere Firewall L2TP Allowed User eller User/Group Settings. Klientenhedens indstillinger skal bruge det samme brugernavn og den samme adgangskode som konfigureret i firewallen for at etablere L2TP VPN.mceclip7.png

1.2 Fase 1-mismatch

Hvis du ser logmeddelelsen [info] eller [error] som nedenfor, skal du kontrollere firewallens fase 1-indstillinger. Klientenhedens indstillinger skal bruge den samme Pre-Shared Key som konfigureret i Firewall'en for at etablere IKE SA.mceclip8.png

1.2 Fase 2-mismatch

Hvis du kan se, at fase 1 IKE SA-processen er afsluttet, men stadig får [info]-logmeddelelsen som nedenfor, skal du kontrollere firewallens fase 2-indstillinger. Firewallenheden skal indstille den korrekte lokale politik for at etablere IKE SA.mceclip9.png

1.3 Overlapning af undernet

Når du konfigurerer VPN'er, skal du sikre dig, at L2TP-adressepuljen ikke er i konflikt med eksisterende LAN1-, LAN2-, DMZ- eller WLAN-zoner, selv om de ikke er i brug.

1.4 Kan nå gatewayen, men ikke LAN-klienter

Hvis du ikke kan få adgang til enheder i det lokale netværk, skal du kontrollere, at enhederne i det lokale netværk har indstillet USG'ens IP som deres standardgateway for at bruge L2TP-tunnelen.

1.5 Tillad VPN-protokollerne i firewall-reglerne

Sørg for, at firewall-enhedernes sikkerhedspolitikker tillader IPSec VPN-trafik. Sørg for, at du har tilladt følgende porte til din IPsec-trafik (herunder fra WAN til Zywall): IKE bruger UDP-port 500, NAT-T bruger UDP-port 4500, ESP bruger IP-protokol 50 og AH bruger IP-protokol 51.

1.6 VPN inkluderet i IPsec_VPN-zonen

Kontrollér, at zonen er indstillet korrekt i reglen for VPN-forbindelse. Den skal være indstillet til IPSec_VPN Zone, så sikkerhedspolitikkerne anvendes korrekt.

1.7 Valg af den korrekte WAN-forbindelse

- Hvis du bruger PPPoE-forbindelse, skal du sørge for at konfigurere det samme: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", hvor Min adresse skal vælges som "wan_ppp" i Interface - se billedet nedenfor;

Gå desuden til Konfiguration > VPN > IPSec VPN > VPN-forbindelse > WIZ_L2TP_VPN.
Sørg for, at IP-adressen for den lokale politik er den samme adresse som din PPPoE-grænseflade, som vist nedenfor;

1.8 Andre konfigurationsproblemer

Andre almindelige konfigurationsproblemer er beskrevet her:

2) Fejlfinding i Windows

2.1 Konfiguration af din pc med MS-CHAPv2

I Windows 10 skal du navigere til Indstillinger (Kontrolpanel) -> Netværk og internet -> Skift adapterindstillinger

mceclip1.png

Gå til Sikkerhed, og vælg derefter "Tillad disse protokoller", og vælg "Ukrypteret adgangskode (PAP) og Microsoft CHAP version 2 (MS-CHAPv2)".

mceclip0.png

2.2 Afslut SecuExtender IPSec VPN-klient

Hvis forbindelsen ikke engang åbner, og du ikke kan se noget i firewallens logfiler. Sørg for, at IPsec VPN-klienten ikke kører i baggrunden, da det kan forstyrre den indbyggede L2TP-forbindelse.

mceclip2.png

Hvis den kører i baggrunden, skal du lukke programmet og prøve at oprette forbindelse igen.

2.3 Sørg for, at IKEEXT-tjenesten kører

Hvis du ikke kan oprette forbindelse fra din pc, men fra andre enheder, kan det skyldes, at IKE-tjenesten ikke kører i baggrunden.

Naviger til Task Manager ved at klikke på ctrl-alt-del og derefter klikke på task manager.

mceclip3.png

Kontakt vores supportteam, hvis du oplever en anden type problem, der ikke er dækket her.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
3 ud af 7 fandt dette nyttigt
Del