VPN - Troubleshoot L2TP VPN over IPSec

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Dit artikel laat zien hoe u uw L2TP VPN over IPSec-tunnel met USG FLEX / ATP / VPN Series kunt oplossen als u problemen ondervindt. Het laat zien wat u moet doen als u een onjuiste gebruikersnaam of wachtwoord hebt, fase 1 mismatch, fase 2 mismatch, subnet overlap, gateway/firewall kan bereiken maar LAN-clients niet, als de VPN-verbinding wordt geblokkeerd en als Windows geen verbinding kan maken met L2TP.

Inhoud

1) Problemen met de gateway oplossen

1.1 Onjuiste gebruikersnaam of wachtwoord

1.2 Fase 1 komt niet overeen

1.3 Subnet overlap

1.4 Kan gateway bereiken maar LAN-clients niet

1.5 De VPN-protocollen toestaan in de firewallregels

1.6 VPN opgenomen in de IPsec_VPN zone

1.7 De juiste WAN-verbinding selecteren

1.7 Andere configuratieproblemen

2) Windows Probleemoplossing

2.1 Uw PC configureren met MS-CHAPv2

2.2 Sluit de SecuExtender IPSec VPN-client af

2.3 Zorg ervoor dat de IKEEXT service actief is

1) Problemen oplossenmet de gateway

Hieronder vindt u informatie over het oplossen van veelvoorkomende problemen die we hebben geïdentificeerd tijdens het opzetten van de L2TP over IPSec VPN.

1.1 Onjuiste gebruikersnaam of wachtwoord

Als u [waarschuwing] logberichten ziet zoals hieronder, controleer dan Firewall L2TP Toegestane Gebruiker of Gebruiker/Groep Instellingen. Clientapparaatinstellingen moeten dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken als geconfigureerd in de firewall om het L2TP VPN op te zetten.mceclip7.png

1.2 Fase 1 Mismatch

Als u het [info] of [error] logbericht ziet zoals hieronder, controleer dan de Fase 1-instellingen van de firewall. Clientapparaatinstellingen moeten dezelfde vooraf gedeelde sleutel gebruiken als geconfigureerd in de firewall om de IKE SA tot stand te brengen.mceclip8.png

1.2 Fase 2 Mismatch

Als u ziet dat het Fase 1 IKE SA-proces is voltooid, maar u krijgt nog steeds het [info] logbericht zoals hieronder, controleer dan de Fase 2-instellingen van de firewall. De firewall moet het juiste lokale beleid instellen om de IKE SA tot stand te brengen.mceclip9.png

1.3 Subnetoverlap

Wanneer u VPN's configureert, moet u ervoor zorgen dat de L2TP Adressenpool niet conflicteert met bestaande LAN1, LAN2, DMZ of WLAN zones, zelfs als ze niet in gebruik zijn.

1.4 Gateway kan bereiken maar LAN-clients niet

Als u geen apparaten in het lokale netwerk kunt bereiken, controleer dan of de apparaten in het lokale netwerk het IP van de USG als standaardgateway hebben ingesteld om de L2TP-tunnel te gebruiken.

1.5 Sta de VPN-protocollen toe in de firewallregels

Zorg ervoor dat het beveiligingsbeleid van de firewall IPSec VPN-verkeer toestaat. Zorg ervoor dat u de volgende poorten heeft toegestaan voor uw IPsec verkeer (inclusief van WAN naar Zywall): IKE gebruikt UDP poort 500, NAT-T gebruikt UDP poort 4500, ESP gebruikt IP protocol 50 en AH gebruikt IP protocol 51.

1.6 VPN opgenomen in de IPsec_VPN Zone

Controleer of de Zone juist is ingesteld in de VPN-verbindingsregel. Deze moet worden ingesteld op IPSec_VPN Zone zodat het beveiligingsbeleid correct wordt toegepast.

1.7 De juiste WAN-verbinding selecteren

- Als u een PPPoE-verbinding gebruikt, zorg er dan voor dat u hetzelfde configureert: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" waarbij Mijn adres geselecteerd moet worden als "wan_ppp" in Interface - zie de afbeelding hieronder;

Ga verder naar Configuratie > VPN > IPSec VPN > VPN-verbinding > WIZ_L2TP_VPN.
Zorg ervoor dat het IP-adres van het lokale beleid hetzelfde adres is als uw PPPoE-interface zoals hieronder getoond;

1.8 Andere configuratieproblemen

Andere veel voorkomende configuratieproblemen worden hier beschreven:

2) Windows Probleemoplossing

2.1 Uw pc configureren met MS-CHAPv2

Navigeer in Windows 10 naar Instellingen (Configuratiescherm) -> Netwerk & Internet -> Adapterinstellingen wijzigen

mceclip1.png

Ga naar Beveiliging en kies dan "Deze protocollen toestaan" en selecteer "Onversleuteld wachtwoord (PAP) en Microsoft CHAP versie 2 (MS-CHAPv2)

mceclip0.png

2.2 SecuExtender IPSec VPN-client afsluiten

Als de verbinding zelfs niet wordt geopend en u kunt niets zien in de logs van de firewall. Zorg ervoor dat de IPsec VPN Client niet op de achtergrond draait, omdat dit de ingebouwde L2TP-verbinding verstoort.

mceclip2.png

Als deze op de achtergrond draait, sluit de toepassing dan af en probeer opnieuw verbinding te maken.

2.3 Controleer of de IKEEXT service actief is

Als u geen verbinding kunt maken vanaf uw pc, maar wel vanaf andere apparaten, kan dit komen doordat de IKE-service niet op de achtergrond draait.

Ga naar Taakbeheer door te klikken op ctrl-alt-del en klik vervolgens op taakbeheer.

mceclip3.png

Neem contact op met ons ondersteuningsteam als u een ander probleem ondervindt dat hier niet wordt behandeld.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 3 van 7
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.