VPN - rozwiązywanie problemów z L2TP VPN przez IPSec

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

W tym artykule pokazano, jak rozwiązywać problemy z tunelem L2TP VPN przez IPSec przy użyciu USG FLEX / ATP / VPN Series, jeśli występują problemy. Pokazuje, co zrobić, jeśli masz nieprawidłową nazwę użytkownika lub hasło, niedopasowanie fazy 1, niedopasowanie fazy 2, nakładanie się podsieci, możesz dotrzeć do bramy / zapory ogniowej, ale nie do klientów LAN, gdy połączenie VPN jest zablokowane i jeśli system Windows nie może połączyć się z L2TP.

Spis treści

1) Rozwiązywanie problemów z bramą

1.1 Nieprawidłowa nazwa użytkownika lub hasło

1.2 Niezgodność fazy 1

1.3 Nakładanie się podsieci

1.4 Można dotrzeć do bramy, ale nie do klientów LAN

1.5 Zezwalanie na protokoły VPN w regułach firewalla

1.6 VPN zawarty w strefie IPsec_VPN

1.7 Wybór właściwego połączenia WAN

1.7 Inne problemy z konfiguracją

2) Rozwiązywanie problemów z systemem Windows

2.1 Konfiguracja komputera za pomocą MS-CHAPv2

2.2 Zamknij klienta SecuExtender IPSec VPN

2.3 Upewnij się, że usługa IKEEXT jest uruchomiona.

1) Rozwiązywanie problemów zbramą

Poniżej znajdują się informacje na temat rozwiązywania typowych problemów, które zidentyfikowaliśmy podczas konfigurowania L2TP przez IPSec VPN.

1.1 Nieprawidłowa nazwa użytkownika lub hasło

Jeśli widzisz komunikaty dziennika [alert], takie jak poniżej, sprawdź ustawienia Firewall L2TP Allowed User lub User/Group. Ustawienia urządzenia klienckiego muszą używać tej samej nazwy użytkownika i hasła, co skonfigurowane w zaporze, aby ustanowić L2TP VPNmceclip7.png

1.2 Niezgodność fazy 1

Jeśli pojawi się komunikat dziennika [info] lub [error], taki jak poniżej, sprawdź ustawienia fazy 1 zapory. Ustawienia urządzenia klienckiego muszą używać tego samego klucza wstępnego, który został skonfigurowany w Firewall w celu ustanowienia IKE SA.mceclip8.png

1.2 Niezgodność fazy 2

Jeśli widzisz, że proces Fazy 1 IKE SA został zakończony, ale nadal otrzymujesz komunikat dziennika [info], jak poniżej, sprawdź ustawienia Fazy 2 zapory. Jednostka firewall musi ustawić prawidłową politykę lokalną, aby ustanowić IKE SA.mceclip9.png

1.3 Nakładanie się podsieci

Podczas konfigurowania sieci VPN należy upewnić się, że pula adresów L2TP nie koliduje z żadnymi istniejącymi strefami LAN1, LAN2, DMZ lub WLAN, nawet jeśli nie są one używane.

1.4 Można dotrzeć do bramy, ale nie do klientów LAN

Jeśli nie można uzyskać dostępu do urządzeń w sieci lokalnej, należy sprawdzić, czy urządzenia w sieci lokalnej ustawiły adres IP USG jako bramę domyślną w celu wykorzystania tunelu L2TP.

1.5 Zezwalaj na protokoły VPN w regułach zapory sieciowej

Upewnij się, że zasady bezpieczeństwa jednostek Firewall zezwalają na ruch IPSec VPN. Upewnij się, że zezwoliłeś na następujące porty dla ruchu IPsec (w tym z WAN do Zywall): IKE używa portu UDP 500, NAT-T używa portu UDP 4500, ESP używa protokołu IP 50, a AH używa protokołu IP 51.

1.6 Sieć VPN zawarta w strefie IPsec_VPN

Sprawdź, czy strefa jest prawidłowo ustawiona w regule połączenia VPN. Powinna ona być ustawiona na IPSec_VPN Zone, aby zasady bezpieczeństwa były stosowane prawidłowo.

1.7 Wybór prawidłowego połączenia WAN

- Jeśli korzystasz z połączenia PPPoE, upewnij się, że skonfigurowałeś to samo: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", gdzie Mój adres powinien być wybrany jako "wan_ppp" w interfejsie - patrz snap poniżej;

Ponadto przejdź do Configuration > VPN > IPSec VPN > VPN Connection > WIZ_L2TP_VPN.
Upewnij się, że adres IP polityki lokalnej jest taki sam jak adres interfejsu PPPoE, jak pokazano poniżej;

1.8 Inne problemy z konfiguracją

Inne typowe problemy z konfiguracją są szczegółowo opisane tutaj:

2) Rozwiązywanie problemów z systemem Windows

2.1 Konfiguracja komputera z MS-CHAPv2

W systemie Windows 10 przejdź do Ustawienia (Panel sterowania) -> Sieć i Internet -> Zmień ustawienia adaptera

mceclip1.png

Przejdź do sekcji Zabezpieczenia, a następnie wybierz opcję "Zezwalaj na te protokoły" i wybierz "Niezaszyfrowane hasło (PAP) i Microsoft CHAP w wersji 2 (MS-CHAPv2)".

mceclip0.png

2.2 Zamknij klienta SecuExtender IPSec VPN

Jeśli połączenie nawet się nie otwiera i nie widać nic w dziennikach zapory. Upewnij się, że klient IPsec VPN nie działa w tle, ponieważ zakłóca to wbudowane połączenie L2TP.

mceclip2.png

Jeśli aplikacja działa w tle, zamknij ją i spróbuj połączyć się ponownie.

2.3 Upewnij się, że usługa IKEEXT jest uruchomiona

Jeśli nie możesz połączyć się z komputera, ale z innych urządzeń, może to być spowodowane tym, że usługa IKE nie działa w tle.

Przejdź do Menedżera zadań, klikając ctrl-alt-del, a następnie kliknij Menedżer zadań.

mceclip3.png

Skontaktuj się z naszym zespołem pomocy technicznej, jeśli doświadczasz innego rodzaju problemu, który nie został tutaj opisany.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 3 z 7
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.