VPN - Risoluzione dei problemi della VPN L2TP su IPSec

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo mostra come risolvere i problemi del tunnel VPN L2TP su IPSec con USG FLEX / ATP / VPN Series in caso di problemi. Mostra cosa fare in caso di nome utente o password errati, mancata corrispondenza di fase 1, mancata corrispondenza di fase 2, sovrapposizione di subnet, possibilità di raggiungere il gateway/firewall ma non i client LAN, blocco della connessione VPN e impossibilità di connessione a L2TP da parte di Windows.

Tabella dei contenuti

1) Risoluzione dei problemi del gateway

1.1 Nome utente o password errati

1.2 Mancata corrispondenza della fase 1

1.3 Sovrapposizione di subnet

1.4 Riesce a raggiungere il gateway ma non i client LAN

1.5 Consentire i protocolli VPN nelle regole del firewall

1.6 VPN inclusa nella zona IPsec_VPN

1.7 Selezione della connessione WAN corretta

1.7 Altri problemi di configurazione

2) Risoluzione dei problemi di Windows

2.1 Configurazione del PC con MS-CHAPv2

2.2 Uscire dal client IPSec VPN di SecuExtender

2.3 Assicurarsi che il servizio IKEEXT sia in esecuzione

1) Risoluzione dei problemidel gateway

Di seguito vengono fornite informazioni su come risolvere i problemi più comuni individuati durante la configurazione della VPN L2TP over IPSec.

1.1 Nome utente o password errati

Se vengono visualizzati messaggi di log [alert] come quelli riportati di seguito, controllare le impostazioni di utente o utente/gruppo consentite del Firewall L2TP. Le impostazioni del dispositivo client devono utilizzare lo stesso nome utente e la stessa password configurati nel Firewall per stabilire la VPN L2TP.mceclip7.png

1.2 Mancata corrispondenza della fase 1

Se viene visualizzato un messaggio di log [info] o [error] come quello riportato di seguito, controllare le impostazioni della Fase 1 del Firewall. Le impostazioni del dispositivo client devono utilizzare la stessa chiave precondivisa configurata nel Firewall per stabilire il SA IKE.mceclip8.png

1.2 Disadattamento della Fase 2

Se si nota che il processo di Fase 1 IKE SA è stato completato, ma si ottiene comunque il messaggio di log [info] riportato di seguito, controllare le impostazioni di Fase 2 del firewall. L'unità firewall deve impostare il criterio locale corretto per stabilire l'IKE SA.mceclip9.png

1.3 Sovrapposizione di sottoreti

Quando si configurano le VPN, è necessario assicurarsi che il pool di indirizzi L2TP non entri in conflitto con le zone LAN1, LAN2, DMZ o WLAN esistenti, anche se non sono in uso.

1.4 Riesce a raggiungere il gateway ma non i client della LAN

Se non è possibile accedere ai dispositivi della rete locale, verificare che i dispositivi della rete locale abbiano impostato l'IP dell'USG come gateway predefinito per utilizzare il tunnel L2TP.

1.5 Consentire i protocolli VPN nelle regole del firewall

Assicurarsi che i criteri di sicurezza delle unità Firewall consentano il traffico VPN IPSec. Assicurarsi di aver consentito le seguenti porte per il traffico IPsec (anche da WAN a Zywall): IKE utilizza la porta UDP 500, NAT-T utilizza la porta UDP 4500, ESP utilizza il protocollo IP 50 e AH utilizza il protocollo IP 51.

1.6 VPN incluse nella zona IPsec_VPN

Verificare che la zona sia impostata correttamente nella regola di connessione VPN. Questa deve essere impostata su IPSec_VPN Zone in modo che i criteri di sicurezza vengano applicati correttamente.

1.7 Selezione della connessione WAN corretta

- Se si utilizza una connessione PPPoE, assicurarsi di configurare la stessa: "Configurazione > VPN > IPSec VPN > Gateway VPN > WIZ_L2TP_VPN" dove il mio indirizzo deve essere selezionato come "wan_ppp" in Interfaccia - vedere l'immagine qui sotto;

Inoltre, andare a Configurazione > VPN > IPSec VPN > Connessione VPN > WIZ_L2TP_VPN.
Assicurarsi che l'indirizzo IP della politica locale sia lo stesso dell'interfaccia PPPoE, come mostrato di seguito;

1.8 Altri problemi di configurazione

Altri problemi di configurazione comuni sono descritti qui di seguito:

2) Risoluzione dei problemi di Windows

2.1 Configurazione del PC con MS-CHAPv2

In Windows 10, accedere a Impostazioni (Pannello di controllo) -> Rete e Internet -> Modifica impostazioni adattatore

mceclip1.png

Andare su Sicurezza, quindi scegliere "Consenti questi protocolli" e selezionare "Password non criptata (PAP) e Microsoft CHAP versione 2 (MS-CHAPv2)".

mceclip0.png

2.2 Chiudere il client VPN IPSec di SecuExtender

Se la connessione non si apre e non si vede nulla nei registri del firewall. Assicurarsi che il client VPN IPsec non sia in esecuzione in background, in quanto interferisce con la connessione L2TP integrata.

mceclip2.png

Se è in esecuzione in background, chiudere l'applicazione e riprovare a connettersi.

2.3 Verificare che il servizio IKEEXT sia in esecuzione

Se non è possibile connettersi dal PC, ma da altri dispositivi, è possibile che il servizio IKE non sia in esecuzione in background.

Passare a Task Manager facendo clic su ctrl-alt-del e poi su Task Manager.

mceclip3.png

Contattate il nostro team di assistenza se state riscontrando un altro tipo di problema non trattato in questa sede.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 3 su 7
Condividi