VPN - устранение неисправностей L2TP VPN через IPSec

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье рассказывается о том, как устранить неполадки в туннеле L2TP VPN поверх IPSec с помощью USG FLEX / ATP / VPN Series, если у вас возникли проблемы. Здесь показано, что делать, если введено неправильное имя пользователя или пароль, несовпадение фазы 1, несовпадение фазы 2, перекрытие подсетей, шлюз/брандмауэр достижим, а клиенты локальной сети - нет, VPN-соединение заблокировано, а также если Windows не может подключиться к L2TP.

Оглавление

1) Устранение неисправностей шлюза

1.1 Неверное имя пользователя или пароль

1.2 Несоответствие фазы 1

1.3 Перекрытие подсетей

1.4 До шлюза можно добраться, а до клиентов локальной сети - нет

1.5 Разрешить протоколы VPN в правилах брандмауэра

1.6 VPN включена в зону IPsec_VPN

1.7 Выбор правильного WAN-соединения

1.7 Другие проблемы конфигурации

2) Устранение неполадок в Windows

2.1 Настройка компьютера с помощью MS-CHAPv2

2.2 Выйдите из SecuExtender IPSec VPN Client

2.3 Убедитесь, что служба IKEEXT запущена.

1) Устранение неисправностейшлюза

Ниже приведена информация о том, как устранить типичные проблемы, выявленные нами при настройке L2TP over IPSec VPN.

1.1 Неверное имя пользователя или пароль

Если вы видите сообщения журнала [alert], подобные приведенным ниже, проверьте настройки брандмауэра L2TP Allowed User или User/Group Settings. В настройках клиентского устройства для создания L2TP VPN должны использоваться те же имя пользователя и пароль, которые настроены в брандмауэре.mceclip7.png

1.2 Несоответствие фазы 1

Если вы видите сообщение [info] или [error] в журнале, как показано ниже, проверьте настройки фазы 1 брандмауэра. В настройках клиентского устройства должен использоваться тот же Pre-Shared Key, что и в настройках Firewall'а для создания IKE SA.mceclip8.png

1.2 Несоответствие фазы 2

Если вы видите, что процесс IKE SA фазы 1 завершен, но все равно получаете сообщение [info] в журнале, как показано ниже, проверьте настройки фазы 2 брандмауэра. Для создания IKE SA на межсетевом экране должна быть установлена правильная локальная политика.mceclip9.png

1.3 Перекрытие подсетей

При настройке VPN необходимо убедиться, что пул адресов L2TP не конфликтует с существующими зонами LAN1, LAN2, DMZ или WLAN, даже если они не используются.

1.4 Доступ к шлюзу, но не к клиентам локальной сети

Если доступ к устройствам в локальной сети невозможен, убедитесь, что устройства в локальной сети установили IP-адрес USG в качестве шлюза по умолчанию для использования туннеля L2TP.

1.5 Разрешить протоколы VPN в правилах межсетевого экрана

Убедитесь, что политики безопасности брандмауэра разрешают трафик IPSec VPN. Убедитесь, что для IPsec-трафика (в том числе из WAN в Zywall) разрешены следующие порты: IKE использует UDP-порт 500, NAT-T использует UDP-порт 4500, ESP использует IP-протокол 50, а AH - IP-протокол 51.

1.6 VPN, включенные в зону IPsec_VPN

Убедитесь, что в правиле VPN Connection правильно задана зона. Для правильного применения политик безопасности следует установить значение IPSec_VPN Zone.

1.7 Выбор правильного WAN-соединения

- Если вы используете PPPoE-соединение, то убедитесь, что настроено то же самое: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", где Мой адрес должен быть выбран как "wan_ppp" в Интерфейсе - см. снимок ниже;

Далее перейдите в раздел Configuration > VPN > IPSec VPN > VPN Connection > WIZ_L2TP_VPN.
Убедитесь, что IP-адрес локальной политики совпадает с адресом интерфейса PPPoE, как показано ниже;

1.8 Другие проблемы конфигурации

Другие распространенные проблемы конфигурации подробно описаны здесь:

2) Устранение неполадок в Windows

2.1 Настройка ПК с помощью MS-CHAPv2

В Windows 10 перейдите в Настройки (Панель управления) -> Сеть и Интернет -> Изменить настройки адаптера

mceclip1.png

Перейдите в раздел "Безопасность", затем выберите "Разрешить эти протоколы" и выберите "Незашифрованный пароль (PAP) и Microsoft CHAP Version 2 (MS-CHAPv2)".

mceclip0.png

2.2 Выйти из SecuExtender IPSec VPN Client

Если соединение даже не открывается, а в журналах брандмауэра ничего не видно. Убедитесь, что IPsec VPN Client не запущен в фоновом режиме, поскольку он мешает работе встроенного L2TP-соединения.

mceclip2.png

Если он работает в фоновом режиме, закройте приложение и попробуйте подключиться снова.

2.3 Убедитесь, что служба IKEEXT запущена.

Если вы не можете подключиться с компьютера, но не можете подключиться с других устройств, это может быть связано с тем, что служба IKE не запущена в фоновом режиме.

Перейдите в диспетчер задач, нажав ctrl-alt-del, а затем выберите диспетчер задач.

mceclip3.png

Свяжитесь с нашей службой поддержки, если у вас возникла другая проблема, не описанная здесь.

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 7
Поделиться