Ten artykuł pokaże, jak rozwiązywać problemy z tunelem L2TP VPN przez IPSec przy użyciu USG FLEX / ATP / serii VPN, jeśli masz problemy. Pokazuje, co zrobić, jeśli masz niepoprawną nazwę użytkownika lub hasło, niezgodność fazy 1, niezgodność fazy 2, nakładanie się podsieci, możesz dotrzeć do bramy/zapory, ale nie do klientów LAN, gdy połączenie VPN jest zablokowane oraz jeśli Windows nie może połączyć się z L2TP.
Rozwiązywanie problemów z bramą
Poniżej znajdują się informacje, jak rozwiązywać powszechne problemy, które zidentyfikowaliśmy podczas konfigurowania VPN L2TP przez IPSec.
1.0 Niepoprawna nazwa użytkownika lub hasło
Jeśli widzisz w logach komunikaty [alert] takie jak poniżej, sprawdź ustawienia Dozwolonych użytkowników L2TP w zaporze lub ustawienia użytkownika/grupy. Ustawienia urządzenia klienckiego muszą używać tej samej nazwy użytkownika i hasła, co skonfigurowane w zaporze, aby nawiązać połączenie L2TP VPN
1.1 Niezgodność fazy 1
Jeśli widzisz w logach komunikaty [info] lub [error] takie jak poniżej, sprawdź ustawienia fazy 1 w zaporze. Ustawienia urządzenia klienckiego muszą używać tego samego klucza wstępnie współdzielonego (Pre-Shared Key), co skonfigurowano w zaporze, aby nawiązać IKE SA.
1.2 Niezgodność fazy 2
Jeśli proces IKE SA fazy 1 został zakończony, ale nadal otrzymujesz w logach komunikaty [info] jak poniżej, sprawdź ustawienia fazy 2 w zaporze. Urządzenie zapory musi ustawić poprawną Politykę lokalną, aby nawiązać IKE SA.
1.3 Nakładanie się podsieci
Podczas konfigurowania VPN musisz upewnić się, że pula adresów L2TP nie koliduje z żadną istniejącą strefą LAN1, LAN2, DMZ lub WLAN, nawet jeśli nie są one używane.
1.4 Można dotrzeć do bramy, ale nie do klientów LAN
Jeśli nie możesz uzyskać dostępu do urządzeń w sieci lokalnej, sprawdź, czy urządzenia w sieci lokalnej mają ustawiony adres IP USG jako domyślną bramę, aby korzystać z tunelu L2TP.
1.5 Zezwól na protokoły VPN w regułach zapory
Upewnij się, że polityki bezpieczeństwa urządzeń zapory pozwalają na ruch VPN IPSec. Upewnij się, że zezwoliłeś na następujące porty dla ruchu IPsec (w tym z WAN do Zywall): IKE używa portu UDP 500, NAT-T używa portu UDP 4500, ESP używa protokołu IP 50, a AH używa protokołu IP 51.
1.6 VPN włączony w strefie IPsec_VPN
Sprawdź, czy strefa jest poprawnie ustawiona w regule połączenia VPN. Powinna być ustawiona na strefę IPSec_VPN, aby polityki bezpieczeństwa były stosowane prawidłowo.
1.7 Wybór właściwego połączenia WAN
- Jeśli używasz połączenia PPPoE, upewnij się, że skonfigurowałeś to samo: "Konfiguracja > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", gdzie adres "My address" powinien być wybrany jako „wan_ppp” w Interfejsie - zobacz poniższy zrzut;
1.8 Inne problemy konfiguracyjne
Inne typowe problemy konfiguracyjne są opisane tutaj:
Rozwiązywanie problemów w Windows - Konfiguracja komputera z MS-CHAPv2
W Windows 10 przejdź do Ustawienia (Panel sterowania) -> Sieć i Internet -> Zmień ustawienia karty
Przejdź do zakładki Zabezpieczenia, a następnie wybierz „Zezwól na te protokoły” i zaznacz „Niezaszyfrowane hasło (PAP) oraz Microsoft CHAP Wersja 2 (MS-CHAPv2)”
2.2 Zamknij klienta SecuExtender IPSec VPN
Jeśli połączenie się nie otwiera i nie widzisz nic w logach zapory, upewnij się, że klient IPsec VPN nie działa w tle, ponieważ może to zakłócać wbudowane połączenie L2TP.
Jeśli działa w tle, zamknij aplikację i spróbuj połączyć się ponownie.
2.3 Upewnij się, że usługa IKEEXT działa
Jeśli nie możesz połączyć się ze swojego komputera, ale z innych urządzeń tak, może to oznaczać, że usługa IKE nie działa w tle.
Przejdź do Menedżera zadań, naciskając ctrl-alt-del, a następnie kliknij Menedżer zadań.
Skontaktuj się z naszym zespołem wsparcia, jeśli masz inny problem, który nie jest tutaj opisany.
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.