Questo articolo mostra come risolvere i problemi del tunnel L2TP VPN su IPSec utilizzando USG FLEX / ATP / VPN Series in caso di problemi. Spiega cosa fare se si hanno username o password errati, incompatibilità nella fase 1, incompatibilità nella fase 2, sovrapposizione di subnet, si può raggiungere il gateway/firewall ma non i client LAN, quando la connessione VPN è bloccata e se Windows non riesce a connettersi a L2TP.
Risoluzione dei problemi del Gateway
Di seguito sono riportate informazioni su come risolvere i problemi comuni riscontrati durante la configurazione della VPN L2TP su IPSec.
1.0 Username o password errati
Se visualizzi messaggi di log [alert] come quelli sotto, verifica le impostazioni di Firewall L2TP Allowed User o Utente/Gruppo. Le impostazioni del dispositivo client devono utilizzare lo stesso Username e Password configurati nel Firewall per stabilire la VPN L2TP
1.1 Incompatibilità Fase 1
Se visualizzi messaggi di log [info] o [error] come quelli sotto, verifica le impostazioni della Fase 1 del Firewall. Le impostazioni del dispositivo client devono utilizzare la stessa Pre-Shared Key configurata nel Firewall per stabilire l'IKE SA.
1.2 Incompatibilità Fase 2
Se il processo IKE SA della Fase 1 è stato completato ma ricevi ancora messaggi di log [info] come quelli sotto, verifica le impostazioni della Fase 2 del Firewall. L’unità firewall deve impostare correttamente la Local Policy per stabilire l'IKE SA.
1.3 Sovrapposizione di subnet
Quando configuri le VPN, devi assicurarti che il pool di indirizzi L2TP non confligga con nessuna delle zone LAN1, LAN2, DMZ o WLAN esistenti, anche se non sono in uso.
1.4 Puoi raggiungere il Gateway ma non i client LAN
Se non riesci ad accedere ai dispositivi nella rete locale, verifica che i dispositivi nella rete locale abbiano impostato l’IP del USG come gateway predefinito per utilizzare il tunnel L2TP.
1.5 Consenti i protocolli VPN nelle regole del Firewall
Assicurati che le policy di sicurezza dell’unità Firewall consentano il traffico VPN IPSec. Assicurati di aver consentito le seguenti porte per il traffico IPsec (incluso da WAN a Zywall): IKE utilizza la porta UDP 500, NAT-T utilizza la porta UDP 4500, ESP utilizza il protocollo IP 50 e AH utilizza il protocollo IP 51.
1.6 VPN inclusa nella Zona IPsec_VPN
Verifica che la Zona sia impostata correttamente nella regola di connessione VPN. Questa deve essere impostata sulla Zona IPSec_VPN affinché le policy di sicurezza vengano applicate correttamente.
1.7 Selezione della connessione WAN corretta
- Se stai utilizzando una connessione PPPoE, assicurati di configurare allo stesso modo: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" dove il mio indirizzo deve essere selezionato come “wan_ppp” nell’Interfaccia - vedi l’immagine sottostante;
1.8 Altri problemi di configurazione
Altri problemi comuni di configurazione sono dettagliati qui:
Risoluzione dei problemi su Windows - Configurazione del PC con MS-CHAPv2
Su Windows 10, vai su Impostazioni (Pannello di controllo) -> Rete e Internet -> Modifica impostazioni scheda
Vai su Sicurezza e poi scegli "Consenti questi protocolli" e seleziona "Password non crittografata (PAP) e Microsoft CHAP Versione 2 (MS-CHAPv2)"
2.2 Chiudi SecuExtender IPSec VPN Client
Se la connessione non si apre nemmeno e non vedi nulla nei log del firewall, assicurati che il client IPsec VPN non sia in esecuzione in background poiché interferisce con la connessione L2TP integrata.
Se è in esecuzione in background, chiudi l’applicazione e prova a connetterti di nuovo.
2.3 Assicurati che il servizio IKEEXT sia in esecuzione
Se non riesci a connetterti dal tuo PC, ma da altri dispositivi sì, potrebbe essere perché il servizio IKE non è in esecuzione in background.
Vai al Task Manager premendo ctrl-alt-del e poi clicca su Task Manager.
Contatta il nostro team di Supporto se stai riscontrando un altro tipo di problema non trattato qui.
Commenti
0 commentiAccedi per aggiungere un commento.