Acest articol vă va arăta cum să depanați tunelul VPN L2TP peste IPSec folosind seria USG FLEX / ATP / VPN dacă întâmpinați probleme. Arată ce trebuie făcut dacă aveți nume de utilizator sau parolă incorectă, nepotrivire în faza 1, nepotrivire în faza 2, suprapunere de subnet, puteți ajunge la gateway/firewall, dar nu și la clienții LAN, când conexiunea VPN este blocată și dacă Windows nu se poate conecta la L2TP.
Depanare Gateway
Următoarele oferă informații despre cum să depanați problemele comune pe care le-am identificat în timpul configurării VPN-ului L2TP peste IPSec.
1.0 Nume de utilizator sau parolă incorectă
Dacă vedeți mesaje de log [alert] precum cele de mai jos, vă rugăm să verificați utilizatorii permiși L2TP în Firewall sau setările Utilizator/Grup. Setările dispozitivului client trebuie să folosească același Nume de utilizator și Parolă configurate în Firewall pentru a stabili VPN-ul L2TP
1.1 Nepotrivire faza 1
Dacă vedeți mesaje de log [info] sau [error] precum cele de mai jos, vă rugăm să verificați setările fazei 1 din Firewall. Setările dispozitivului client trebuie să folosească aceeași Cheie Pre-Distribuită (Pre-Shared Key) configurată în Firewall pentru a stabili IKE SA.
1.2 Nepotrivire faza 2
Dacă vedeți că procesul IKE SA din faza 1 s-a finalizat, dar tot primiți mesaje de log [info] ca mai jos, vă rugăm să verificați setările fazei 2 din Firewall. Unitatea firewall trebuie să seteze corect Politica Locală pentru a stabili IKE SA.
1.3 Suprapunere subnet
Când configurați VPN-urile, trebuie să vă asigurați că Pool-ul de adrese L2TP nu intră în conflict cu niciuna dintre zonele LAN1, LAN2, DMZ sau WLAN, chiar dacă acestea nu sunt utilizate.
1.4 Se poate ajunge la Gateway, dar nu și la clienții LAN
Dacă nu puteți accesa dispozitivele din rețeaua locală, verificați dacă dispozitivele din rețeaua locală au setată adresa IP a USG ca gateway implicit pentru a utiliza tunelul L2TP.
1.5 Permiteți protocoalele VPN în regulile Firewall-ului
Asigurați-vă că politicile de securitate ale unităților Firewall permit traficul VPN IPSec. Asigurați-vă că ați permis următoarele porturi pentru traficul IPsec (inclusiv de la WAN către Zywall): IKE folosește portul UDP 500, NAT-T folosește portul UDP 4500, ESP folosește protocolul IP 50 și AH folosește protocolul IP 51.
1.6 VPN inclusă în Zona IPsec_VPN
Verificați dacă Zona este setată corect în regula de Conexiune VPN. Aceasta trebuie setată pe Zona IPSec_VPN pentru ca politicile de securitate să fie aplicate corespunzător.
1.7 Selectarea conexiunii WAN corecte
- Dacă folosiți conexiune PPPoE, asigurați-vă că configurați la fel: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" unde adresa Mea (My address) trebuie selectată ca „wan_ppp” la Interfață - vedeți captura de ecran de mai jos;
1.8 Alte probleme de configurare
Alte probleme comune de configurare sunt detaliate aici:
Depanare Windows - Configurarea PC-ului cu MS-CHAPv2
În Windows 10, navigați la Setări (Control Panel) -> Rețea și Internet -> Modificare setări adaptor
Mergeți la Securitate și apoi alegeți "Permite aceste protocoale" și selectați "Parolă necriptată (PAP) și Microsoft CHAP Versiunea 2 (MS-CHAPv2)"
2.2 Închideți clientul SecuExtender IPSec VPN
Dacă conexiunea nici măcar nu se deschide și nu vedeți nimic în log-urile firewall-ului, asigurați-vă că clientul IPsec VPN nu rulează în fundal, deoarece acesta interferează cu conexiunea L2TP integrată.
Dacă rulează în fundal, vă rugăm să închideți aplicația și să încercați să vă conectați din nou.
2.3 Asigurați-vă că serviciul IKEEXT rulează
Dacă nu vă puteți conecta de pe PC, dar de pe alte dispozitive da, acest lucru poate fi pentru că serviciul IKE nu rulează în fundal.
Vă rugăm să deschideți Managerul de activități apăsând ctrl-alt-del și apoi faceți clic pe Manager de activități.
Contactați echipa noastră de Suport dacă întâmpinați un alt tip de problemă care nu este acoperită aici.
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.