Tento článok ukazuje, ako riešiť problémy s vaším L2TP VPN cez IPSec tunel pomocou USG FLEX / ATP / VPN Series, ak máte problémy. Ukazuje, čo robiť, ak máte nesprávne používateľské meno alebo heslo, nezladenie fázy 1, nezladenie fázy 2, prekrytie podsiete, dosiahnutie brány/firewalu, ale nie LAN klientov, keď je VPN pripojenie blokované, a ak sa Windows nemôže pripojiť k L2TP.
Riešenie problémov s bránou
Nasledujúce informácie poskytujú návod, ako riešiť bežné problémy, ktoré sme identifikovali pri nastavovaní L2TP cez IPSec VPN.
1.0 Nesprávne používateľské meno alebo heslo
Ak vidíte v záznamoch správu [alert] ako nižšie, skontrolujte prosím nastavenia Firewall L2TP Allowed User alebo Nastavenia používateľa/skupiny. Nastavenia klientského zariadenia musia používať rovnaké používateľské meno a heslo ako sú nakonfigurované vo Firewalle pre vytvorenie L2TP VPN
1.1 Nezladenie fázy 1
Ak vidíte v záznamoch správu [info] alebo [error] ako nižšie, skontrolujte prosím nastavenia fázy 1 vo Firewalle. Nastavenia klientského zariadenia musia používať rovnaký predzdieľaný kľúč (Pre-Shared Key) ako je nakonfigurovaný vo Firewalle na vytvorenie IKE SA.
1.2 Nezladenie fázy 2
Ak vidíte, že proces fázy 1 IKE SA bol dokončený, ale stále sa zobrazuje správa [info] ako nižšie, skontrolujte prosím nastavenia fázy 2 vo Firewalle. Firewall musí nastaviť správnu lokálnu politiku na vytvorenie IKE SA.
1.3 Prekrytie podsiete
Pri konfigurácii VPN musíte zabezpečiť, aby L2TP adresný pool nebol v konflikte s existujúcimi zónami LAN1, LAN2, DMZ alebo WLAN, aj keď nie sú používané.
1.4 Dosiahnutie brány, ale nie LAN klientov
Ak nemôžete pristupovať k zariadeniam v lokálnej sieti, overte, či zariadenia v lokálnej sieti majú nastavenú IP adresu USG ako svoju predvolenú bránu na využitie L2TP tunela.
1.5 Povolenie VPN protokolov vo firewall pravidlách
Uistite sa, že bezpečnostné politiky firewallu povoľujú IPSec VPN prevádzku. Skontrolujte, či ste povolili nasledujúce porty pre váš IPsec prenos (vrátane WAN do Zywall): IKE používa UDP port 500, NAT-T používa UDP port 4500, ESP používa IP protokol 50 a AH používa IP protokol 51.
1.6 VPN zahrnutá v zóne IPsec_VPN
Overte, či je zóna správne nastavená v pravidle VPN pripojenia. Mala by byť nastavená na zónu IPSec_VPN, aby sa bezpečnostné politiky správne uplatňovali.
1.7 Výber správneho WAN pripojenia
- Ak používate PPPoE pripojenie, uistite sa, že je nakonfigurované rovnako: "Konfigurácia > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", kde by mala byť vybraná možnosť „My address“ ako „wan_ppp“ v rozhraní - pozrite si snímku nižšie;
1.8 Iné konfiguračné problémy
Ďalšie bežné konfiguračné problémy sú popísané tu:
Riešenie problémov vo Windows - Konfigurácia PC s MS-CHAPv2
Vo Windows 10 prejdite do Nastavenia (Ovládací panel) -> Sieť a internet -> Zmeniť nastavenia adaptéra
Choďte do záložky Bezpečnosť a potom vyberte „Povoliť tieto protokoly“ a zvoľte „Nešifrované heslo (PAP) a Microsoft CHAP verzia 2 (MS-CHAPv2)“
2.2 Ukončite SecuExtender IPSec VPN klienta
Ak sa pripojenie ani neotvára a nevidíte nič v záznamoch firewallu, uistite sa, že IPsec VPN klient nebeží na pozadí, pretože to môže rušiť vstavané L2TP pripojenie.
Ak beží na pozadí, zatvorte aplikáciu a skúste sa znova pripojiť.
2.3 Uistite sa, že služba IKEEXT beží
Ak sa nemôžete pripojiť zo svojho PC, ale z iných zariadení áno, môže to byť preto, že služba IKE nebeží na pozadí.
Prejdite do Správcu úloh kliknutím na ctrl-alt-del a potom vyberte Správcu úloh.
Ak zažívate iný typ problému, ktorý tu nie je pokrytý, kontaktujte náš podporný tím.
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.