VPN - Riešenie problémov s protokolom L2TP VPN cez IPSec

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

V tomto článku sa dozviete, ako odstrániť problémy s tunelom L2TP VPN cez IPSec pomocou radu USG FLEX / ATP / VPN, ak máte problémy. Ukazuje, čo robiť, ak máte nesprávne používateľské meno alebo heslo, nezhodu vo fáze 1, nezhodu vo fáze 2, prekrývanie podsietí, môžete dosiahnuť bránu/firewall, ale nie klientov LAN, keď je pripojenie VPN blokované a ak sa systém Windows nemôže pripojiť k L2TP.

Tabuľka obsahu

1) Riešenie problémov s bránou

1.1 Nesprávne používateľské meno alebo heslo

1.2 Nesúlad fázy 1

1.3 Prekrývanie podsietí

1.4 Možno dosiahnuť bránu, ale nie klientov LAN

1.5 Povolenie protokolov VPN v pravidlách brány firewall

1.6 VPN zahrnutá v zóne IPsec_VPN

1.7 Výber správneho pripojenia WAN

1.7 Ďalšie problémy s konfiguráciou

2) Riešenie problémov so systémom Windows

2.1 Konfigurácia počítača s protokolom MS-CHAPv2

2.2 Ukončenie aplikácie SecuExtender IPSec VPN Client

2.3 Skontrolujte, či je spustená služba IKEEXT

1) Riešenie problémov sbránou

V nasledujúcom texte sú uvedené informácie o tom, ako odstrániť bežné problémy, ktoré sme zistili pri nastavovaní siete L2TP cez IPSec VPN.

1.1 Nesprávne používateľské meno alebo heslo

Ak sa zobrazujú správy denníka [alert], ako sú uvedené nižšie, skontrolujte nastavenia brány Firewall L2TP Allowed User (Povolený používateľ) alebo User/Group Settings (Nastavenia používateľa/skupiny). Nastavenia klientskeho zariadenia musia používať rovnaké Používateľské meno a Heslo, aké sú nakonfigurované v bráne Firewall na vytvorenie siete L2TP VPNmceclip7.png

1.2 Nesúlad fázy 1

Ak sa zobrazí správa protokolu [info] alebo [error], ako je uvedené nižšie, skontrolujte Nastavenia fázy 1 brány Firewall. Nastavenia klientskeho zariadenia musia na vytvorenie IKE SA používať rovnaký Pre-Shared Key, aký je nakonfigurovaný vo Firewalle.mceclip8.png

1.2 Nesúlad fázy 2

Ak vidíte, že proces fázy 1 IKE SA bol dokončený, ale stále sa zobrazuje správa denníka [info] ako je uvedené nižšie, skontrolujte nastavenia fázy 2 brány Firewall. Jednotka firewallu musí nastaviť správnu lokálnu politiku na vytvorenie IKE SA.mceclip9.png

1.3 Prekrývanie podsietí

Pri konfigurácii siete VPN je potrebné zabezpečiť, aby skupina adries L2TP nebola v konflikte so žiadnou existujúcou zónou LAN1, LAN2, DMZ alebo WLAN, aj keď sa nepoužívajú.

1.4 Môže dosiahnuť bránu, ale nie klientov LAN

Ak nemáte prístup k zariadeniam v miestnej sieti, overte, či zariadenia v miestnej sieti nastavili IP adresu USG ako svoju predvolenú bránu, aby mohli využívať tunel L2TP.

1.5 Povoľte protokoly VPN v pravidlách brány firewall

Uistite sa, že bezpečnostné zásady jednotiek brány Firewall povoľujú prevádzku IPSec VPN. Uistite sa, že ste povolili nasledujúce porty pre prevádzku IPsec (vrátane z WAN do Zywall): IKE používa port UDP 500, NAT-T používa port UDP 4500, ESP používa protokol IP 50 a AH používa protokol IP 51.

1.6 VPN zahrnuté v zóne IPsec_VPN

Overte, či je Zóna správne nastavená v pravidle Pripojenie VPN. Tá by mala byť nastavená na IPSec_VPN Zone, aby sa správne aplikovali bezpečnostné politiky.

1.7 Výber správneho pripojenia WAN

- Ak používate pripojenie PPPoE, než sa uistite, že ste nakonfigurovali to isté: "Configuration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN", kde by mala byť v položke Interface (Rozhranie) zvolená Moja adresa ako "wan_ppp" - pozri snímku nižšie;

Ďalej prejdite na Configuration > VPN > IPSec VPN > VPN Connection > WIZ_L2TP_VPN.
Uistite sa, že IP adresa lokálnej politiky je rovnaká ako adresa rozhrania PPPoE, ako je znázornené nižšie;

1.8 Ďalšie problémy s konfiguráciou

Ďalšie bežné problémy s konfiguráciou sú podrobne opísané tu:

2) Riešenie problémov so systémom Windows

2.1. Konfigurácia počítača s protokolom MS-CHAPv2

V systéme Windows 10 prejdite do ponuky Nastavenia (Ovládací panel) -> Sieť a internet -> Zmeniť nastavenia adaptéra

mceclip1.png

Prejdite na položku Zabezpečenie a potom vyberte možnosť "Povoliť tieto protokoly" a vyberte možnosť "Nešifrované heslo (PAP) a Microsoft CHAP verzia 2 (MS-CHAPv2)".

mceclip0.png

2.2 Ukončenie aplikácie SecuExtender IPSec VPN Client

Ak sa spojenie ani neotvára a v protokoloch firewallu nevidíte nič. Uistite sa, že klient IPsec VPN nie je spustený na pozadí, pretože to ruší vstavané pripojenie L2TP.

mceclip2.png

Ak je spustený na pozadí, zatvorte aplikáciu a skúste sa pripojiť znova.

2.3 Uistite sa, že je spustená služba IKEEXT

Ak sa nemôžete pripojiť z počítača, ale z iných zariadení, môže to byť spôsobené tým, že služba IKE nie je spustená na pozadí.

Prejdite do Správcu úloh kliknutím na ctrl-alt-del a potom kliknite na Správca úloh.

mceclip3.png

Ak máte iný typ problému, ktorý tu nie je opísaný, obráťte sa na náš tím podpory.

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
3 z 7 to považovali za užitočné
Zdieľať