L2TP/IPSec dasar pemecahan masalah pada Windows 2000

Artikel ini berisi informasi yang membantu memecahkan protokol Penerobosan lapis dua (L2TP) dan keamanan protokol Internet (IPSec) pada Windows.

L2TP adalah standar yang memungkinkan transfer lalu lintas Point-to-Point Protocol (PPP) antara jaringan yang berbeda, seperti yang dijelaskan dalam permintaan untuk komentar (RFC) 2661, "Lapisan dua Tunneling Protocol L2TP." L2TP dikombinasikan dengan IPSec untuk menyediakan tunneling dan keamanan untuk Internet Protocol (IP), Internetwork paket Exchange (IPX) dan paket protokol lain di jaringan IP apapun.

L2TP merangkum paket asli di dalam PPP frame dan melakukan kompresi bila mungkin. Selain itu, L2TP merangkum di dalam User Datagram protokol (UDP)-jenis paket yang ditugaskan ke port 1701. Karena paket UDP adalah bagian dari protokol transport IP, L2TP secara otomatis menggunakan IPSec untuk membantu mengamankan terowongan. L2TP melakukan ini berdasarkan pengaturan keamanan dalam konfigurasi pengguna L2TP terowongan. Secara default, protokol IPSec Internet Key Exchange (IKE) melakukan negosiasi keamanan untuk L2TP terowongan dengan menggunakan otentikasi berbasis sertifikat. Ini proses otentikasi menggunakan komputer sertifikat, sertifikat pengguna tidak, untuk memverifikasi bahwa sumber komputer dan komputer tujuan mempercayai satu sama lain. Jika keamanan transportasi IPSec berhasil didirikan, L2TP merundingkan terowongan dan melakukan kontrol akses berbasis identitas pengguna. Ketika L2TP merundingkan terowongan, merundingkan kompresi dan otentikasi pengguna pilihan.

Struktur paket L2TP/IPSec tampak serupa dengan contoh berikut.

Catatan Muatan PPP berisi Datagram-datagram IP asli. Teks miring mewakili apa yang dienkripsi dengan IPSec.Microsoft Point-to-Point enkripsi protokol (MPPE) dinegosiasikan oleh Windows ketika rekan L2TP (klien atau server) permintaan itu. MPPE dapat digunakan untuk membantu mengamankan muatan PPP ketika Extensible otentikasi protokol Transport Layer Security (EAP TLS) atau Microsoft tantangan jabat tangan protokol otentikasi (MS-CHAP) digunakan.

MPPE menggunakan Rivest-Shamir-alasan Top-Secret (RSA) RC4 streaming sandi dan 40-bit, 56-bit atau 128-bit kunci rahasia. MPPE kunci yang dihasilkan dari MS-CHAP dan EAP-TLS otentikasi pengguna proses. Akses remote server dapat dikonfigurasi untuk memerlukan data enkripsi. Jika akses remote klien tidak dapat melakukan enkripsi diperlukan, usaha koneksi ditolak, dan Anda mungkin menerima pesan galat berikut:IPSec dinegosiasikan sebelum PPP dimulai; MPPE dinegosiasikan setelah PPP dimulai. PPP yang berjalan di atas L2TP; menggunakan IPSec untuk melakukannya. Selama fase otentikasi PPP, nama pengguna dikirim ke komponen server akses remote server jaringan privat virtual (VPN) dengan menggunakan protokol otentikasi dikonfigurasi, seperti MS-CHAP. Akses remote server kemudian sesuai nama pengguna dan sifat-sifat lainnya panggilan untuk kebijakan akses remote. Kebijakan masing-masing memiliki profil, dan server remote akses membandingkan kondisi panggilan dengan profil untuk menentukan apakah akan menerima permintaan koneksi.

Pertimbangan

• Jika Anda Microsoft Windows 2000 Professional dengan Paket Layanan 2 atau klien VPN berbasis sebelumnya di balik setiap jaringan perangkat melakukan network address translation (NAT), sesi L2TP gagal karena dienkripsi IPSec Encapsulating keamanan muatan (ESP) paket rusak. Jika klien VPN di komputer yang sama sebagai Windows Internet Connection Sharing/Network Address Translation, klien ini mungkin dapat membangun L2TP sesi karena NAT tidak melakukan setiap alamat IP atau Port terjemahan ketika paket berasal dari node sendiri.Untuk informasi tambahan tentang perbaikan IPSec yang memungkinkan komunikasi untuk klien VPN yang berada di belakang NAT perangkat, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  818043  (http://support.microsoft.com/kb/818043/ ) L2TP/IPSec NAT-T pembaruan untuk Windows XP dan Windows 2000
• Anda perlu mesin sertifikat dengan kunci privat. Kunci privat dapat ditemukan di toko komputer lokal sertifikat pribadi.
  
  Untuk informasi tambahan tentang menginstal sertifikat, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  253498  (http://support.microsoft.com/kb/253498/ ) Cara menginstal sertifikat untuk penggunaan dengan keamanan IP
  Jika mesin sertifikat tidak ditemukan, L2TP isu peringatan bahwa Anda tidak memiliki sertifikat, tetapi tidak tahu apakah sertifikat telah terinstal dengan benar dan terkait kunci privat untuk sertifikat yang telah. IKE menentukan ini selama negosiasi. Mulai lokal komputer sertifikat snap-in, double-klik Sertifikat, dan memverifikasi bahwa General menunjukkan "Anda memiliki kunci privat yang terkait dengan sertifikat ini." Juga, pastikan bahwa lintasan sertifikat lengkap dan bahwa sertifikat tersebut berlaku.
  
  Klien harus memiliki sertifikat mesin yang akar sertifikasi authority adalah sama dengan sertifikat pada sertifikat gateway. Alasan untuk kegagalan sertifikat dicatat oleh IKE dalam entri log keamanan.Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
  257225  (http://support.microsoft.com/kb/257225/ ) IPSec dasar pemecahan masalah pada Microsoft Windows 2000 Server
  Untuk informasi tambahan tentang jenis komputer sertifikat bekerja dengan benar, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  249125  (http://support.microsoft.com/kb/249125/ ) Menggunakan sertifikat untuk Windows 2000 dan Cisco IOS VPN interoperation
  Kedua belah pihak harus mampu proses validasi sertifikat berhasil. Jika sertifikat otentikasi berhasil, entri dalam keamanan login catatan acara sukses IPSec utama-modus keamanan Association (SA) mendirikan (masuk/logoff).
• IKE kegagalan untuk menegosiasikan: Anda dapat memverifikasi apakah IPSec berhasil dengan menjalankan Ipsecmon.exe ketika Anda memiliki izin administrator lokal dan ketika pilihan ditetapkan untuk memperbarui interval waktu satu detik. Jika Anda melihat SA IPSec muncul, itu menunjukkan bahwa IPSec berhasil, dan Anda mungkin menyimpulkan bahwa L2TP adalah sumber masalah. Penggunaan netdiag /test:ipsec/v /debug perintah untuk melihat rincian kebijakan IPSec.
  
  Catatan Anda tidak dapat melihat seluruh kebijakan jika domain administrator telah menetapkan kebijakan di komputer lokal.Untuk informasi tambahan tentang Ipsecmon.exe dan perintah netdiag, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  257225  (http://support.microsoft.com/kb/257225/ ) IPSec dasar pemecahan masalah pada Microsoft Windows 2000 Server
  Juga perhatikan berikut:
  • IKE timeout: IKE mungkin waktu selama permintaan awal negosiasi jika router depan dari VPN server tidak mengaktifkan port UDP 500 melalui. IKE juga kali jika VPN server tidak memiliki sesuai kebijakan IPSec dikonfigurasi. Ini biasanya berarti bahwa server Routing dan akses jauh tidak memiliki port L2TP diaktifkan atau pengaturan kebijakan IPSec manual misconfigured. Ketika IKE kali keluar, jejak audit menunjukkan bahwa rekan tidak menjawab, dan jaringan menangkap jejak menunjukkan ISAKMP UDP paket memulai hanya dari klien Anda. Jika klien VPN dikonfigurasi khusus untuk L2TP, Anda menerima pesan galat berikut:
    Negosiasi keamanan habis.
    Jika klien VPN dikonfigurasi dengan otomatis, mencoba tugas lagi dengan menggunakan protokol berikutnya pada daftar, yaitu PPTP.
  • IKE kegagalan: kegagalan untuk menegosiasikan IKE dan alasan-alasan kegagalan tercatat dalam log keamanan jika Anda mengaktifkan pengaturan keamanan, Audit Kegagalan Logon/Logoff. IKE dapat gagal karena kredensial sertifikat tidak bekerja atau karena masalah konfigurasi kebijakan IPSec jika mereka menetapkan kebijakan IPSec manual.Untuk informasi tambahan tentang kebijakan otomatis, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    248750  (http://support.microsoft.com/kb/248750/ ) Deskripsi IPSec kebijakan yang dibuat untuk L2TP/IPSec
    Keberhasilan negosiasi IKE dicatat dalam jejak audit. Untuk seluruh IPSec keamanan negosiasi untuk menjadi sukses, Anda perlu kedua modus utama SA membangun dan cepat-modus SA menetapkan untuk UDP port 1701.
• Jika salah satu gejala berikut terjadi, IPSec tidak menyebabkan masalah:
  • Jejak audit menunjukkan sukses utama-modus SA mendirikan dan membangun sukses cepat-modus SA.
  • Jaringan menangkap jejak menunjukkan ESP lalu lintas yang berasal dari klien atau server.
  • Ipsecmon.exe menunjukkan SA IPSec.
  Catatan Selalu ada dua IPSec SAs didirikan: satu untuk setiap arah, masing-masing dengan sendiri Keamanan Parameter indeks (SPI). Namun, Ipsecmon.exe menunjukkan hanya SA keluar.
• ESP diblokir: ketika NAT adalah di depan klien, atau ketika router ada di depan VPN, server tidak dapat mengaktifkan protokol 50, ESP, melalui. Keluar ESP lalu lintas dengan nomor SPI muncul, tetapi paket ESP masuk dari pintu gerbang dengan sejumlah SPI berbeda tidak muncul.
• ESP diubah: Jika NAT atau mungkin sebuah saklar yang rusak atau simpul jaringan lain adalah mengubah atau merusak paket di mana pun di jalan, paket-paket dijatuhkan oleh pengandar IPSec, dan acara berikut muncul di log sistem penerima:

  Event ID: 4285
  Description:
  Gagal untuk mengotentikasi hash.

  Paket mungkin juga rusak oleh antarmuka jaringan dengan kemampuan IPSec Offload. Untuk menentukan apakah sebuah antarmuka memiliki kemampuan ini, gunakan perintah berikut:
  netsh int ip menunjukkan offload
• Jika IPSec offload kemampuan jaringan adaptor adalah penyebab dicurigai, mulai menangkap Monitor Jaringan dan Ipsecmon.exe untuk menganalisis setiap sambungan upaya dan untuk memverifikasi "Rahasia byte menerima" counter di Ipsecmon.exe untuk menentukan apakah paket yang hilang di menerima. Anda juga dapat mengatur nilai DWORD subkunci registri berikut ini ke nol:
  HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload
  Jika sambungan, kemudian berhasil, masalahnya adalah offload terkait. Pemecahan masalah alternatif lain adalah untuk menonaktifkan kebijakan IPSec otomatis.Untuk informasi tambahan tentang menonaktifkan kebijakan IPSec otomatis, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  240262  (http://support.microsoft.com/kb/240262/ ) Cara mengkonfigurasi sambungan L2TP/IPSec menggunakan otentikasi kunci preshared
• Jika agen kebijakan IPSec dihentikan dengan menggunakan snap-in layanan atau net stop policyagent perintah, L2TP otomatis IPSec kebijakan konfigurasi hilang. Untuk klien VPN, kebijakan secara otomatis plumbed ketika klien connectoid dimulai. Pastikan bahwa IPSec kebijakan agen layanan mulai dan berjalan sebelum Anda mulai connectoid klien. Setelah Anda mengklik Menghubungkan dan usaha sambungan sedang berlangsung, Anda dapat menggunakan netdiag /test:ipsec/v /debug perintah untuk melihat statistik IPSec dan filter aktif.
  
  Catatan Jika Anda tidak memiliki izin administrator domain, Anda tidak dapat menggunakan /debug beralih.Untuk informasi tambahan tentang masalah lainnya mungkin, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
  247231  (http://support.microsoft.com/kb/247231/ ) ID Peristiwa 20111, 792 kesalahan atau kesalahan 781 ketika membangun koneksi L2TP/IPSec

Untuk informasi lebih lanjut tentang VPN, kunjungi Web site Microsoft berikut:Untuk informasi tambahan tentang IPSec pemecahan masalah, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: