Denna artikel visar hur du felsöker din L2TP VPN över IPSec-tunnel med hjälp av USG FLEX / ATP / VPN-serien om du har problem. Den visar vad du ska göra om du har fel användarnamn eller lösenord, fas 1-mismatch, fas 2-mismatch, subnätöverlappning, kan nå gateway/firewall men inte LAN-klienter, när VPN-anslutningen blockeras och om Windows inte kan ansluta till L2TP.
Gateway Felsökning
Följande ger information om hur man felsöker vanliga problem som vi har identifierat vid uppsättning av L2TP över IPSec VPN.
1.0 Felaktigt användarnamn eller lösenord
Om du ser [alert]-loggmeddelanden som nedan, kontrollera Firewall L2TP Tillåtna Användare eller Användare/Grupinställningar. Klientens enhetsinställningar måste använda samma Användarnamn och Lösenord som konfigurerats i brandväggen för att upprätta L2TP VPN
1.1 Fas 1-mismatch
Om du ser [info] eller [error]-loggmeddelanden som nedan, kontrollera brandväggens Fas 1-inställningar. Klientens enhetsinställningar måste använda samma Fördelade Nyckel (Pre-Shared Key) som konfigurerats i brandväggen för att upprätta IKE SA.
1.2 Fas 2-mismatch
Om du ser att Fas 1 IKE SA-processen har slutförts men fortfarande får [info]-loggmeddelanden som nedan, kontrollera brandväggens Fas 2-inställningar. Brandväggen måste ha rätt Lokala Policy inställd för att upprätta IKE SA.
1.3 Subnätöverlappning
När du konfigurerar VPN måste du säkerställa att L2TP Adresspool inte krockar med några befintliga LAN1, LAN2, DMZ eller WLAN-zoner, även om de inte används.
1.4 Kan nå gateway men inte LAN-klienter
Om du inte kan nå enheter i det lokala nätverket, kontrollera att enheterna i det lokala nätverket har USG:s IP som sin standardgateway för att kunna använda L2TP-tunneln.
1.5 Tillåt VPN-protokollen i brandväggsreglerna
Säkerställ att brandväggens säkerhetspolicys tillåter IPSec VPN-trafik. Se till att följande portar är tillåtna för din IPSec-trafik (inklusive från WAN till Zywall): IKE använder UDP-port 500, NAT-T använder UDP-port 4500, ESP använder IP-protokoll 50 och AH använder IP-protokoll 51.
1.6 VPN inkluderad i IPsec_VPN-zonen
Kontrollera att zonen är korrekt inställd i VPN-anslutningsregeln. Den ska vara inställd på IPSec_VPN-zon så att säkerhetspolicys tillämpas korrekt.
1.7 Välja rätt WAN-anslutning
- Om du använder PPPoE-anslutning, se till att konfigurera samma: "Konfiguration > VPN > IPSec VPN > VPN Gateway > WIZ_L2TP_VPN" där Min adress ska väljas som “wan_ppp” i gränssnittet - se bilden nedan;
1.8 Andra konfigurationsproblem
Andra vanliga konfigurationsproblem beskrivs här:
Windows Felsökning - Konfigurera din PC med MS-CHAPv2
I Windows 10, gå till Inställningar (Kontrollpanelen) -> Nätverk & Internet -> Ändra adapterinställningar
Gå till Säkerhet och välj sedan "Tillåt dessa protokoll" och markera "Okrypterat lösenord (PAP) och Microsoft CHAP Version 2 (MS-CHAPv2)"
2.2 Avsluta SecuExtender IPSec VPN-klient
Om anslutningen inte ens öppnas och du inte kan se något i brandväggens loggar. Kontrollera att IPSec VPN-klienten inte körs i bakgrunden eftersom detta stör den inbyggda L2TP-anslutningen.
Om den körs i bakgrunden, stäng programmet och försök ansluta igen.
2.3 Kontrollera att IKEEXT-tjänsten körs
Om du inte kan ansluta från din PC, men från andra enheter, kan det bero på att IKE-tjänsten inte körs i bakgrunden.
Gå till Aktivitetshanteraren genom att trycka ctrl-alt-del och klicka sedan på Aktivitetshanteraren.
Kontakta vårt Supportteam om du upplever någon annan typ av problem som inte täcks här.
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.