Tässä artikkelissa näytetään, miten voit vianmäärityksen avulla korjata L2TP VPN:n IPSecin yli USG FLEX / ATP / VPN -sarjan laitteilla, jos sinulla on ongelmia. Se kertoo, mitä tehdä, jos käyttäjätunnus tai salasana on väärin, vaihe 1:n ristiriita, vaihe 2:n ristiriita, aliverkon päällekkäisyys, pääsetkö yhdyskäytävälle/palomuurille mutta et LAN-asiakkaille, kun VPN-yhteys on estetty, ja jos Windows ei pysty muodostamaan yhteyttä L2TP:hen.
Yhdyskäytävän vianmääritys
Seuraavassa on tietoa siitä, miten yleisiä L2TP:n IPSecin yli VPN -yhteyden asetuksiin liittyviä ongelmia voidaan vianmäärityksen avulla ratkaista.
1.0 Väärä käyttäjätunnus tai salasana
Jos näet [alert]-lokiviestejä, kuten alla, tarkista palomuurin L2TP Allowed User tai Käyttäjä/Ryhmä -asetukset. Asiakaslaitteen asetuksissa on käytettävä samaa käyttäjätunnusta ja salasanaa, jotka on määritetty palomuuriin L2TP VPN:n muodostamiseksi
1.1 Vaihe 1:n ristiriita
Jos näet [info]- tai [error]-lokiviestin, kuten alla, tarkista palomuurin Vaihe 1:n asetukset. Asiakaslaitteen asetuksissa on käytettävä samaa jaettua avainta (Pre-Shared Key), joka on määritetty palomuuriin IKE SA:n muodostamiseksi.
1.2 Vaihe 2:n ristiriita
Jos Vaihe 1:n IKE SA -prosessi on suoritettu loppuun, mutta saat silti alla olevan [info]-lokiviestin, tarkista palomuurin Vaihe 2:n asetukset. Palomuuriyksikön on asetettava oikea Paikallinen käytäntö IKE SA:n muodostamiseksi.
1.3 Aliverkon päällekkäisyys
VPN:iä määritettäessä on varmistettava, että L2TP-osoitealue ei ole ristiriidassa minkään olemassa olevan LAN1-, LAN2-, DMZ- tai WLAN-alueen kanssa, vaikka niitä ei käytettäisikään.
1.4 Pääsee yhdyskäytävälle mutta ei LAN-asiakkaille
Jos et pääse käsiksi paikallisverkon laitteisiin, varmista, että paikallisverkon laitteet on asetettu käyttämään USG:n IP-osoitetta oletusyhdyskäytävänä L2TP-tunnelin hyödyntämiseksi.
1.5 Salli VPN-protokollat palomuurisäännöissä
Varmista, että palomuuriyksiköiden suojauskäytännöt sallivat IPSec VPN -liikenteen. Varmista, että olet sallinut seuraavat portit IPsec-liikenteellesi (mukaan lukien WAN:sta Zywallille): IKE käyttää UDP-porttia 500, NAT-T käyttää UDP-porttia 4500, ESP käyttää IP-protokollaa 50 ja AH käyttää IP-protokollaa 51.
1.6 VPN sisällytetty IPsec_VPN-alueeseen
Varmista, että alue on asetettu oikein VPN-yhteyssäännössä. Sen tulisi olla asetettu IPSec_VPN-alueeksi, jotta suojauskäytännöt tulevat sovellettua oikein.
1.7 Oikean WAN-yhteyden valinta
- Jos käytät PPPoE-yhteyttä, varmista, että määrität samat asetukset: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", jossa Oma osoite tulisi valita "wan_ppp" käyttöliittymässä – katso alla oleva kuva;
1.8 Muut konfiguraatio-ongelmat
Muita yleisiä konfiguraatio-ongelmia on kuvattu täällä:
Windowsin vianmääritys – PC:n määrittäminen MS-CHAPv2:lla
Windows 10:ssä siirry kohtaan Asetukset (Ohjauspaneeli) -> Verkko ja internet -> Muuta sovittimen asetuksia
Siirry Suojaus-välilehdelle ja valitse "Salli nämä protokollat" ja valitse "Salaamaton salasana (PAP) ja Microsoft CHAP Versio 2 (MS-CHAPv2)"
2.2 Lopeta SecuExtender IPSec VPN -asiakasohjelma
Jos yhteys ei avaudu lainkaan etkä näe mitään palomuurin lokissa, varmista, että IPsec VPN -asiakasohjelma ei ole käynnissä taustalla, koska se voi häiritä sisäänrakennettua L2TP-yhteyttä.
Jos se on käynnissä taustalla, sulje sovellus ja yritä muodostaa yhteys uudelleen.
2.3 Varmista, että IKEEXT-palvelu on käynnissä
Jos et pysty muodostamaan yhteyttä tietokoneeltasi, mutta muilta laitteilta onnistuu, syynä saattaa olla se, että IKE-palvelu ei ole käynnissä taustalla.
Siirry Tehtävienhallintaan painamalla ctrl-alt-del ja valitse sitten Tehtävienhallinta.
Ota yhteyttä tukitiimiimme, jos kohtaat täällä käsitellyn ongelman lisäksi muita ongelmia.
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.