Dit artikel laat zien hoe u uw L2TP VPN over IPSec-tunnel kunt oplossen met USG FLEX / ATP / VPN Series als u problemen ondervindt. Het laat zien wat u moet doen als u een onjuiste gebruikersnaam of wachtwoord heeft, fase 1 mismatch, fase 2 mismatch, subnet overlap, wel toegang heeft tot gateway/firewall maar niet tot LAN-clients, wanneer VPN-verbinding wordt geblokkeerd, en als Windows geen verbinding kan maken met L2TP.
Gateway Problemen oplossen
Het volgende biedt informatie over hoe u veelvoorkomende problemen kunt oplossen die we hebben geïdentificeerd bij het opzetten van de L2TP over IPSec VPN.
1.0 Onjuiste gebruikersnaam of wachtwoord
Als u [alert] logberichten zoals hieronder ziet, controleer dan Firewall L2TP Toegestane Gebruiker of Gebruiker/Groep instellingen. De instellingen van het clientapparaat moeten dezelfde gebruikersnaam en wachtwoord gebruiken als geconfigureerd in de firewall om de L2TP VPN tot stand te brengen
1.1 Fase 1 Mismatch
Als u [info] of [error] logberichten zoals hieronder ziet, controleer dan de Fase 1-instellingen van de firewall. De instellingen van het clientapparaat moeten dezelfde Pre-Shared Key gebruiken als geconfigureerd in de firewall om de IKE SA tot stand te brengen.
1.2 Fase 2 Mismatch
Als het proces van Fase 1 IKE SA is voltooid maar u nog steeds [info] logberichten zoals hieronder krijgt, controleer dan de Fase 2-instellingen van de firewall. De firewall moet het juiste Lokale Beleid instellen om de IKE SA tot stand te brengen.
1.3 Subnet Overlap
Wanneer u VPN's configureert, moet u ervoor zorgen dat het L2TP-adrespool niet conflicteert met bestaande LAN1, LAN2, DMZ of WLAN zones, zelfs als deze niet in gebruik zijn.
1.4 Kan de Gateway bereiken maar niet LAN-clients
Als u geen toegang heeft tot apparaten in het lokale netwerk, controleer dan of de apparaten in het lokale netwerk het IP-adres van de USG als hun standaardgateway instellen om de L2TP-tunnel te gebruiken.
1.5 Sta VPN-protocollen toe in de firewallregels
Zorg ervoor dat de beveiligingsbeleid van de firewall IPSec VPN-verkeer toestaan. Zorg ervoor dat u de volgende poorten heeft toegestaan voor uw IPsec-verkeer (inclusief van WAN naar Zywall): IKE gebruikt UDP-poort 500, NAT-T gebruikt UDP-poort 4500, ESP gebruikt IP-protocol 50 en AH gebruikt IP-protocol 51.
1.6 VPN opgenomen in de IPsec_VPN Zone
Controleer of de Zone correct is ingesteld in de VPN-verbindingregel. Dit moet zijn ingesteld op IPSec_VPN Zone zodat beveiligingsbeleid correct worden toegepast.
1.7 De juiste WAN-verbinding selecteren
- Als u een PPPoE-verbinding gebruikt, zorg er dan voor dat u hetzelfde configureert: "Configuratie > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" waarbij Mijn adres moet zijn geselecteerd als “wan_ppp” in Interface - zie onderstaande afbeelding;
1.8 Andere configuratieproblemen
Andere veelvoorkomende configuratieproblemen worden hier beschreven:
Windows Problemen oplossen - Uw PC configureren met MS-CHAPv2
Ga in Windows 10 naar Instellingen (Configuratiescherm) -> Netwerk & Internet -> Adapterinstellingen wijzigen
Ga naar Beveiliging en kies vervolgens "Sta deze protocollen toe" en selecteer "Onversleuteld wachtwoord (PAP) en Microsoft CHAP versie 2 (MS-CHAPv2)"
2.2 Sluit SecuExtender IPSec VPN Client af
Als de verbinding niet eens opent en u niets in de logs van de firewall ziet, zorg er dan voor dat de IPsec VPN Client niet op de achtergrond draait, omdat dit interfereert met de ingebouwde L2TP-verbinding.
Als deze op de achtergrond draait, sluit dan de applicatie en probeer opnieuw verbinding te maken.
2.3 Zorg dat de IKEEXT-service draait
Als u niet vanaf uw pc kunt verbinden, maar wel vanaf andere apparaten, kan dit zijn omdat de IKE-service niet op de achtergrond draait.
Ga naar Taakbeheer door ctrl-alt-del te drukken en klik vervolgens op taakbeheer.
Neem contact op met ons Supportteam als u een ander type probleem ondervindt dat hier niet wordt behandeld.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.