VPN - Dépannage du VPN L2TP sur IPSec

Vous avez d’autres questions ? Envoyer une demande

Cet article vous montrera comment dépanner votre tunnel VPN L2TP sur IPSec en utilisant les séries USG FLEX / ATP / VPN si vous rencontrez des problèmes. Il explique quoi faire en cas de nom d'utilisateur ou mot de passe incorrect, de désaccord de phase 1, de désaccord de phase 2, de chevauchement de sous-réseau, si vous pouvez atteindre la passerelle/pare-feu mais pas les clients LAN, lorsque la connexion VPN est bloquée, et si Windows ne peut pas se connecter au L2TP.

Dépannage de la passerelle

Les informations suivantes expliquent comment résoudre les problèmes courants que nous avons identifiés lors de la configuration du VPN L2TP sur IPSec.

1.0 Nom d'utilisateur ou mot de passe incorrect

Si vous voyez des messages de journal [alert] comme ci-dessous, veuillez vérifier les utilisateurs autorisés L2TP du pare-feu ou les paramètres Utilisateur/Groupe. Les paramètres de l'appareil client doivent utiliser le même nom d'utilisateur et mot de passe que ceux configurés dans le pare-feu pour établir le VPN L2TPmceclip7.png

1.1 Désaccord de phase 1

Si vous voyez un message de journal [info] ou [error] comme ci-dessous, veuillez vérifier les paramètres de phase 1 du pare-feu. Les paramètres de l'appareil client doivent utiliser la même clé pré-partagée que celle configurée dans le pare-feu pour établir la SA IKE.mceclip8.png

1.2 Désaccord de phase 2

Si vous voyez que le processus SA IKE de phase 1 est terminé mais que vous recevez toujours un message de journal [info] comme ci-dessous, veuillez vérifier les paramètres de phase 2 du pare-feu. L'unité pare-feu doit définir la stratégie locale correcte pour établir la SA IKE.mceclip9.png

1.3 Chevauchement de sous-réseau

Lorsque vous configurez des VPN, vous devez vous assurer que le pool d'adresses L2TP ne rentre pas en conflit avec les zones LAN1, LAN2, DMZ ou WLAN existantes, même si elles ne sont pas utilisées.

1.4 Peut atteindre la passerelle mais pas les clients LAN

Si vous ne pouvez pas accéder aux appareils du réseau local, vérifiez que les appareils du réseau local définissent l'IP du USG comme passerelle par défaut pour utiliser le tunnel L2TP.

1.5 Autoriser les protocoles VPN dans les règles du pare-feu

Assurez-vous que les politiques de sécurité des unités pare-feu autorisent le trafic VPN IPSec. Assurez-vous d'avoir autorisé les ports suivants pour votre trafic IPsec (y compris depuis le WAN vers Zywall) : IKE utilise le port UDP 500, NAT-T utilise le port UDP 4500, ESP utilise le protocole IP 50 et AH utilise le protocole IP 51.

1.6 VPN inclus dans la zone IPsec_VPN

Vérifiez que la zone est correctement définie dans la règle de connexion VPN. Elle doit être réglée sur la zone IPSec_VPN afin que les politiques de sécurité soient correctement appliquées.

1.7 Sélection de la connexion WAN correcte

- Si vous utilisez une connexion PPPoE, assurez-vous de configurer de la même manière : "Configuration > VPN > IPSec VPN > Passerelle VPN > WIZ_L2TP_VPN" où Mon adresse doit être sélectionnée comme “wan_ppp” dans Interface - voir la capture ci-dessous ;

WIZ_L2TP_VPN

De plus, allez dans Configuration > VPN > IPSec VPN > Connexion VPN > WIZ_L2TP_VPN.
Assurez-vous que l'adresse IP de la politique locale est la même que celle de votre interface PPPoE comme montré ci-dessous ;
WIZ_L2TP_VPN

1.8 Autres problèmes de configuration

D'autres problèmes de configuration courants sont détaillés ici :

Dépannage Windows - Configuration de votre PC avec MS-CHAPv2

Sur Windows 10, allez dans Paramètres (Panneau de configuration) -> Réseau et Internet -> Modifier les options d'adaptateur

MS-CHAPv2

Allez dans Sécurité puis choisissez "Autoriser ces protocoles" et sélectionnez "Mot de passe non chiffré (PAP) et Microsoft CHAP Version 2 (MS-CHAPv2)"

MS-CHAPv2

2.2 Quitter le client VPN IPSec SecuExtender

Si la connexion ne s'ouvre même pas et que vous ne voyez rien dans les journaux du pare-feu, assurez-vous que le client VPN IPsec n'est pas en cours d'exécution en arrière-plan car cela interfère avec la connexion L2TP intégrée.

SecuExtender IPSec VPN

S'il fonctionne en arrière-plan, veuillez fermer l'application et essayer de vous reconnecter.

2.3 Assurez-vous que le service IKEEXT est en cours d'exécution

Si vous ne pouvez pas vous connecter depuis votre PC, mais depuis d'autres appareils, cela peut être dû au fait que le service IKE ne fonctionne pas en arrière-plan.

Veuillez ouvrir le Gestionnaire des tâches en appuyant sur ctrl-alt-suppr puis cliquez sur Gestionnaire des tâches.

mceclip3.png

Contactez notre équipe de support si vous rencontrez un autre type de problème non couvert ici.

 

Articles dans cette section

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 3 sur 7
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.