VPN - Feilsøking av L2TP VPN over IPSec

Denne artikkelen viser hvordan du feilsøker din L2TP VPN over IPSec-tunnel ved bruk av USG FLEX / ATP / VPN-serien hvis du har problemer. Den viser hva du skal gjøre hvis du har feil brukernavn eller passord, fase 1-mismatch, fase 2-mismatch, subnett-overlapping, kan nå gateway/brannmur men ikke LAN-klienter, når VPN-tilkobling er blokkert, og hvis Windows ikke kan koble til L2TP.

Gateway-feilsøking

Følgende gir informasjon om hvordan du feilsøker vanlige problemer vi har identifisert under oppsett av L2TP over IPSec VPN.

1.0 Feil brukernavn eller passord

Hvis du ser [alert] loggmeldinger som nedenfor, vennligst sjekk Firewall L2TP Tillatte brukere eller Bruker/Gruppe-innstillinger. Klientens enhetsinnstillinger må bruke samme brukernavn og passord som konfigurert i brannmuren for å etablere L2TP VPNmceclip7.png

1.1 Fase 1-mismatch

Hvis du ser [info] eller [error] loggmelding som nedenfor, vennligst sjekk brannmurens Fase 1-innstillinger. Klientens enhetsinnstillinger må bruke samme forhåndsdelte nøkkel som konfigurert i brannmuren for å etablere IKE SA.mceclip8.png

1.2 Fase 2-mismatch

Hvis du ser at fase 1 IKE SA-prosessen er fullført, men fortsatt får [info] loggmelding som nedenfor, vennligst sjekk brannmurens Fase 2-innstillinger. Brannmuren må sette korrekt Lokal policy for å etablere IKE SA.mceclip9.png

1.3 Subnett-overlapping

Når du konfigurerer VPN-er, må du sørge for at L2TP-adressepoolen ikke konflikter med noen eksisterende LAN1, LAN2, DMZ eller WLAN-soner, selv om de ikke er i bruk.

1.4 Kan nå gateway, men ikke LAN-klienter

Hvis du ikke får tilgang til enheter i det lokale nettverket, verifiser at enhetene i det lokale nettverket har USG sin IP som standard gateway for å bruke L2TP-tunnelen.

1.5 Tillat VPN-protokollene i brannmurreglene

Sørg for at brannmurens sikkerhetspolicyer tillater IPSec VPN-trafikk. Sørg for at du har åpnet følgende porter for IPsec-trafikk (inkludert fra WAN til Zywall): IKE bruker UDP-port 500, NAT-T bruker UDP-port 4500, ESP bruker IP-protokoll 50 og AH bruker IP-protokoll 51.

1.6 VPN inkludert i IPsec_VPN-sonen 

Verifiser at sonen er riktig satt i VPN-tilkoblingsregelen. Denne skal være satt til IPSec_VPN-sone slik at sikkerhetspolicyer blir korrekt anvendt.

1.7 Velge riktig WAN-tilkobling

- Hvis du bruker PPPoE-tilkobling, må du sørge for å konfigurere det samme: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" hvor Min adresse skal velges som “wan_ppp” under Grensesnitt - se bildet nedenfor;

WIZ_L2TP_VPN

Videre gå til Configuration > VPN > IPSec VPN > VPN Connection > WIZ_L2TP_VPN.
Sørg for at lokal policy IP-adresse er samme adresse som din PPPoE-grensesnitt som vist nedenfor;
WIZ_L2TP_VPN

1.8 Andre konfigurasjonsproblemer

Andre vanlige konfigurasjonsproblemer er detaljert her:

Windows-feilsøking - Konfigurere PC-en med MS-CHAPv2

På Windows 10, naviger til Innstillinger (Kontrollpanel) -> Nettverk og Internett -> Endre adapterinnstillinger

MS-CHAPv2

Gå til Sikkerhet og velg deretter "Tillat disse protokollene" og velg "Ukryptert passord (PAP) og Microsoft CHAP versjon 2 (MS-CHAPv2)

MS-CHAPv2

2.2 Avslutt SecuExtender IPSec VPN-klient

Hvis tilkoblingen ikke engang åpnes og du ikke ser noe i brannmurens logger. Sørg for at IPsec VPN-klienten ikke kjører i bakgrunnen da dette kan forstyrre den innebygde L2TP-tilkoblingen.

SecuExtender IPSec VPN

Hvis den kjører i bakgrunnen, vennligst avslutt programmet og prøv å koble til igjen.

2.3 Sørg for at IKEEXT-tjenesten kjører 

Hvis du ikke kan koble til fra din PC, men fra andre enheter, kan dette skyldes at IKE-tjenesten ikke kjører i bakgrunnen.

Vennligst åpne Oppgavebehandling ved å trykke ctrl-alt-del og deretter klikke på Oppgavebehandling.

mceclip3.png

Ta kontakt med vårt Supportteam hvis du opplever en annen type problem som ikke er dekket her.

 

Artikler i denne seksjonen

Var denne artikkelen nyttig?
3 av 7 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.