Viktigt meddelande: |
Den här artikeln visar hur du felsöker din L2TP VPN över IPSec-tunnel med USG FLEX / ATP / VPN-serien om du har problem. Den visar vad du ska göra om du har felaktigt användarnamn eller lösenord, fas 1 missmatchning, fas 2 missmatchning, subnätöverlappning, kan nå gateway / brandvägg men inte LAN-klienter, när VPN-anslutningen blockeras och om Windows inte kan ansluta till L2TP.
Innehållsförteckning
1) Felsökning av gateway
1.1 Felaktigt användarnamn eller lösenord
1.2 Fas 1-missmatchning
1.3 Överlappning av undernät
1.4 Kan nå Gateway men inte LAN-klienter
1.5 Tillåt VPN-protokoll i brandväggsreglerna
1.6 VPN ingår i IPsec_VPN-zonen
1.7 Andra problem med konfigurationen
2) Felsökning av Windows
2.1 Konfigurera din dator med MS-CHAPv2
2.2 Avsluta SecuExtender IPSec VPN Client
2.3 Kontrollera att IKEEXT-tjänsten är igång
1) Felsökning förgateway
Nedan följer information om hur du felsöker vanliga problem som vi har identifierat när vi har konfigurerat L2TP över IPSec VPN.
1.1 Felaktigt användarnamn eller lösenord
Om du ser [alert] loggmeddelanden som nedan, kontrollera Brandvägg L2TP Tillåten användare eller Användare/Grupp inställningar. Klientenhetens inställningar måste använda samma användarnamn och lösenord som konfigurerats i brandväggen för att upprätta L2TP VPN
1.2 Mismatch i fas 1
Om du ser loggmeddelandet [info] eller [error] som nedan, kontrollera brandväggens fas 1-inställningar. Klientenhetens inställningar måste använda samma Pre-Shared Key som konfigurerats i brandväggens för att upprätta IKE SA.
1.2 Mismatch i fas 2
Om du ser att IKE SA-processen för fas 1 har slutförts men fortfarande får loggmeddelandet [info] enligt nedan, ska du kontrollera brandväggens fas 2-inställningar. Brandväggsenheten måste ange rätt lokal policy för att upprätta IKE SA.
1.3 Överlappning av undernät
När du konfigurerar VPN måste du se till att L2TP-adresspoolen inte kommer i konflikt med några befintliga LAN1-, LAN2-, DMZ- eller WLAN-zoner, även om de inte används.
1.4 Kan nå Gateway men inte LAN-klienter
Om du inte kan komma åt enheter i det lokala nätverket ska du kontrollera att enheterna i det lokala nätverket har angett USG:s IP som standardgateway för att använda L2TP-tunneln.
1.5 Tillåt VPN-protokollen i brandväggsreglerna
Se till att brandväggsenheternas säkerhetspolicyer tillåter IPSec VPN-trafik. Se till att du har tillåtit följande portar för din IPsec-trafik (inklusive från WAN till Zywall): IKE använder UDP-port 500, NAT-T använder UDP-port 4500, ESP använder IP-protokoll 50 och AH använder IP-protokoll 51.
1.6 VPN som ingår i IPsec_VPN-zonen
Kontrollera att Zonen är korrekt inställd i regeln för VPN-anslutning. Detta bör ställas in på IPSec_VPN Zone så att säkerhetspolicyer tillämpas korrekt.
1.7 Välja rätt WAN-anslutning
- Om du använder PPPoE-anslutning, se till att konfigurera samma: "Konfiguration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" där Min adress ska väljas som "wan_ppp" i Interface - se ögonblicksbilden nedan;
1.8 Andra konfigurationsproblem
Andra vanliga konfigurationsproblem beskrivs här:
2) Felsökning i Windows
2.1 Konfigurera din dator med MS-CHAPv2
I Windows 10, navigera till Inställningar (Kontrollpanelen) -> Nätverk & Internet -> Ändra adapterinställningar
Gå till Säkerhet och välj sedan "Tillåt dessa protokoll" och välj "Okrypterat lösenord (PAP) och Microsoft CHAP version 2 (MS-CHAPv2)
2.2 Avsluta SecuExtender IPSec VPN-klient
Om anslutningen inte ens öppnas och du inte kan se något i brandväggens loggar. Se till att IPsec VPN Client inte körs i bakgrunden eftersom detta stör den inbyggda L2TP-anslutningen.
Om den körs i bakgrunden, stäng applikationen och försök ansluta igen.
2.3 Kontrollera att IKEEXT-tjänsten körs
Om du inte kan ansluta från datorn, men däremot från andra enheter, kan det bero på att IKE-tjänsten inte körs i bakgrunden.
Navigera till Aktivitetshanteraren genom att klicka på ctrl-alt-del och sedan klicka på Aktivitetshanteraren.
Kontakta vårt supportteam om du upplever en annan typ av problem som inte beskrivs här.