В этой статье показано, как устранить неполадки вашего L2TP VPN поверх IPSec туннеля с использованием USG FLEX / ATP / VPN серии, если у вас возникли проблемы. В статье описано, что делать при неправильном имени пользователя или пароле, несоответствии фазы 1, несоответствии фазы 2, перекрытии подсетей, доступе к шлюзу/фаерволу, но отсутствия доступа к клиентам LAN, блокировке VPN-соединения и если Windows не может подключиться к L2TP.
Устранение неполадок шлюза
Ниже приведена информация о том, как устранить распространённые проблемы, выявленные при настройке L2TP поверх IPSec VPN.
1.0 Неправильное имя пользователя или пароль
Если вы видите в логах сообщения [alert], как показано ниже, пожалуйста, проверьте настройки разрешённых пользователей L2TP в фаерволе или настройки пользователей/групп. Настройки клиентского устройства должны использовать то же имя пользователя и пароль, что и в настройках фаервола, чтобы установить L2TP VPN
1.1 Несоответствие фазы 1
Если вы видите в логах сообщения [info] или [error], как показано ниже, пожалуйста, проверьте настройки фазы 1 в фаерволе. Настройки клиентского устройства должны использовать тот же предварительно общий ключ (Pre-Shared Key), что и в настройках фаервола, для установления IKE SA.
1.2 Несоответствие фазы 2
Если процесс IKE SA фазы 1 завершён, но вы всё ещё видите в логах сообщение [info], как показано ниже, пожалуйста, проверьте настройки фазы 2 в фаерволе. В устройстве фаервола должна быть установлена правильная локальная политика для установления IKE SA.
1.3 Перекрытие подсетей
При настройке VPN необходимо убедиться, что пул адресов L2TP не конфликтует с существующими зонами LAN1, LAN2, DMZ или WLAN, даже если они не используются.
1.4 Доступ к шлюзу есть, но к клиентам LAN нет
Если вы не можете получить доступ к устройствам в локальной сети, проверьте, что устройства в локальной сети используют IP-адрес USG в качестве шлюза по умолчанию для использования L2TP туннеля.
1.5 Разрешение VPN-протоколов в правилах фаервола
Убедитесь, что политики безопасности фаервола разрешают трафик IPSec VPN. Убедитесь, что разрешены следующие порты для вашего IPSec трафика (включая трафик с WAN на Zywall): IKE использует UDP порт 500, NAT-T использует UDP порт 4500, ESP использует IP протокол 50, а AH — IP протокол 51.
1.6 VPN включён в зону IPsec_VPN
Проверьте, что зона правильно установлена в правиле подключения VPN. Она должна быть установлена на зону IPSec_VPN, чтобы политики безопасности применялись корректно.
1.7 Выбор правильного WAN-соединения
- Если вы используете PPPoE-соединение, убедитесь, что настроено следующее: «Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN», где в поле My address должен быть выбран интерфейс «wan_ppp» — смотрите скриншот ниже;
1.8 Другие проблемы конфигурации
Другие распространённые проблемы конфигурации описаны здесь:
Устранение неполадок Windows – настройка ПК с MS-CHAPv2
В Windows 10 перейдите в Настройки (Панель управления) -> Сеть и Интернет -> Изменение параметров адаптера
Перейдите во вкладку Безопасность и выберите «Разрешить эти протоколы», отметив «Незашифрованный пароль (PAP) и Microsoft CHAP версии 2 (MS-CHAPv2)»
2.2 Закрытие клиента SecuExtender IPSec VPN
Если соединение даже не открывается и вы не видите ничего в логах фаервола, убедитесь, что клиент IPsec VPN не запущен в фоновом режиме, так как это мешает встроенному L2TP соединению.
Если он запущен в фоновом режиме, закройте приложение и попробуйте подключиться снова.
2.3 Убедитесь, что служба IKEEXT запущена
Если вы не можете подключиться с ПК, но с других устройств – возможно, служба IKE не запущена в фоновом режиме.
Перейдите в Диспетчер задач, нажав ctrl-alt-del, затем выберите Диспетчер задач.
Свяжитесь с нашей службой поддержки, если у вас возникла другая проблема, не описанная здесь.
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.