VPN - Depanarea L2TP VPN prin IPSec

Creat - Actualizat
Serhii Boiarynov
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Aviz important:
Stimate client, vă rugăm să fiți conștienți de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. În cazul în care există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Acest articol va arăta cum să vă depanați tunelul L2TP VPN peste IPSec utilizând USG FLEX / ATP / VPN Series dacă aveți probleme. Acesta arată ce trebuie să faceți dacă aveți un nume de utilizator sau o parolă incorectă, necorespundere de fază 1, necorespundere de fază 2, suprapunere de subrețea, puteți ajunge la gateway / firewall, dar nu și la clienții LAN, atunci când conexiunea VPN este blocată și dacă Windows nu se poate conecta la L2TP.

Tabelul de conținut

1) Depanarea gateway-ului

1.1 Nume de utilizator sau parolă incorectă

1.2 Neconcordanță de fază 1

1.3 Suprapunere de subrețea

1.4 Se poate ajunge la Gateway, dar nu și la clienții LAN

1.5 Permiteți protocoalele VPN în regulile de firewall

1.6 VPN inclus în zona IPsec_VPN

1.7 Selectarea conexiunii WAN corecte

1.7 Alte probleme de configurare

2) Rezolvarea problemelor din Windows

2.1 Configurarea PC-ului cu MS-CHAPv2

2.2 Ieșirea din SecuExtender IPSec VPN Client

2.3 Asigurați-vă că serviciul IKEEXT este în funcțiune

1) Depanareagateway-ului

În cele ce urmează sunt oferite informații despre cum să soluționați problemele comune pe care le-am identificat în timpul configurării L2TP peste VPN IPSec.

1.1 Nume de utilizator sau parolă incorectă

Dacă vedeți mesaje de jurnal [alert] precum cele de mai jos, vă rugăm să verificați Firewall L2TP Allowed User (Utilizator permis) sau User/Group Settings (Setări utilizator/grup). Setările dispozitivului client trebuie să utilizeze același nume de utilizator și aceeași parolă configurate în Firewall pentru a stabili L2TP VPNmceclip7.png

1.2 Neconcordanță în faza 1

Dacă vedeți un mesaj de jurnal [info] sau [error] ca cel de mai jos, verificați setările de fază 1 ale Firewall-ului. Setările dispozitivului client trebuie să utilizeze aceeași cheie preîmpărțită ca cea configurată în Firewall pentru a stabili IKE SA.mceclip8.png

1.2 Neconcordanță în faza 2

Dacă vedeți că procesul IKE SA din faza 1 a fost finalizat, dar primiți totuși mesajul de jurnal [info] ca mai jos, verificați setările de fază 2 ale Firewall-ului. Unitatea de firewall trebuie să seteze politica locală corectă pentru a stabili IKE SA.mceclip9.png

1.3 Suprapunerea subrețelelor

Atunci când configurați VPN-uri, trebuie să vă asigurați că pool-ul de adrese L2TP nu intră în conflict cu nicio zonă LAN1, LAN2, DMZ sau WLAN existentă, chiar dacă acestea nu sunt utilizate.

1.4 Poate ajunge la Gateway, dar nu și la clienții LAN

Dacă nu puteți accesa dispozitivele din rețeaua locală, verificați dacă dispozitivele din rețeaua locală au setat IP-ul USG ca gateway implicit pentru a utiliza tunelul L2TP.

1.5 Permiteți protocoalele VPN în regulile de firewall

Asigurați-vă că politicile de securitate ale unităților Firewall permit traficul IPSec VPN. Asigurați-vă că ați permis următoarele porturi pentru traficul IPsec (inclusiv de la WAN la Zywall): IKE utilizează portul UDP 500, NAT-T utilizează portul UDP 4500, ESP utilizează protocolul IP 50 și AH utilizează protocolul IP 51.

1.6 VPN inclus în zona IPsec_VPN

Verificați dacă Zona este setată corect în regula VPN Connection (Conexiune VPN). Aceasta ar trebui să fie setată la IPSec_VPN Zone, astfel încât politicile de securitate să fie aplicate corect.

1.7 Selectarea conexiunii WAN corecte

- Dacă folosiți conexiunea PPPoE, atunci asigurați-vă că faceți aceeași configurare: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", unde My address ar trebui să fie selectată ca "wan_ppp" în Interface (Interfață) - vedeți imaginea de mai jos;

În plus, mergeți la Configuration > VPN > IPSec VPN > VPN Connection > WIZ_L2TP_VPN.
Asigurați-vă că adresa IP a politicii locale este aceeași adresă cu cea a interfeței PPPoE, așa cum se arată mai jos;

1.8 Alte probleme de configurare

Alte probleme comune de configurare sunt detaliate aici:

2) Rezolvarea problemelor Windows

2.1 Configurarea PC-ului cu MS-CHAPv2

Pe Windows 10, navigați la Settings (Panou de control) -> Network & Internet (Rețea și internet) -> Change adapter settings (Modificați setările adaptorului)

mceclip1.png

Mergeți la Security (Securitate) și apoi alegeți "Allow these protocols" (Permiteți aceste protocoale) și selectați "Unencrypted password (PAP) and Microsoft CHAP Version 2 (MS-CHAPv2)" (Parolă necriptată (PAP) și Microsoft CHAP Version 2 (MS-CHAPv2)

mceclip0.png

2.2 Ieșiți din SecuExtender IPSec VPN Client

Dacă conexiunea nici măcar nu se deschide și nu puteți vedea nimic în jurnalele firewall-ului. Asigurați-vă că IPsec VPN Client nu rulează în fundal, deoarece acesta interferează cu conexiunea L2TP încorporată.

mceclip2.png

Dacă rulează în fundal, închideți aplicația și încercați să vă conectați din nou.

2.3 Asigurați-vă că serviciul IKEEXT este în funcțiune

Dacă nu vă puteți conecta de pe PC, dar de pe alte dispozitive, este posibil ca acest lucru să se datoreze faptului că serviciul IKE nu rulează în fundal.

Vă rugăm să navigați în Task Manager făcând clic pe ctrl-alt-del și apoi pe task manager.

mceclip3.png

Luați legătura cu echipa noastră de asistență dacă vă confruntați cu un alt tip de problemă care nu este acoperit aici.

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
3 din 7 au considerat acest conținut util
Partajare