Resolução básica de L2TP/IPSec problemas no Windows 2000

Este artigo contém informações que ajuda a resolver problemas de protocolo de túnel de camada 2 (L2TP) e segurança do protocolo Internet (IPSec) no Windows.

L2TP é um padrão que permite a transferência de tráfego de protocolo ponto a ponto (PPP, Point-to-Point Protocol) entre redes diferentes, tal como descrito no RFC Request for Comments () 2661, "Camada de L2TP do Two Tunneling Protocol". L2TP é combinado com o IPSec para fornecer quer a utilização de túneis quer a segurança para IP (protocolo Internet), IPX (Internetwork Packet Exchange) e outros pacotes de protocolo em qualquer rede IP.

L2TP encapsula pacotes originais dentro de um pacote PPP e executa compressão quando é possível. Além disso, o L2TP encapsula dentro de UDP (User Datagram Protocol)-tipo de pacote que está atribuído à porta 1701. Uma vez que o pacote UDP é uma parte do protocolo de transporte IP, o L2TP utiliza automaticamente o IPSec para ajudar a proteger o túnel. L2TP fá-lo com base nas definições segurança na configuração do utilizador do túnel L2TP. Por predefinição, o protocolo IKE (IPSec Internet Key Exchange) negoceia a segurança para o túnel L2TP utilizando a autenticação baseada em certificados. Este processo de autenticação utiliza certificados de computador, não certificados de utilizador, para verificar que os computadores de origem e computadores de destino fidedigno entre si. Se segurança de transporte IPSec for estabelecida com êxito, o L2TP negoceia o túnel e efectua o controlo de acesso com base na identidade do utilizador. Quando o L2TP negoceia o túnel, negoceia as opções de compressão e autenticação de utilizador.

A estrutura de pacotes L2TP/IPSec é semelhante ao exemplo que se segue.

Nota O payload PPP contém o datagrama IP original. Texto itálico representa o que é encriptado com IPSec.Microsoft Point-to-Point Protocol (Encryption) é negociada pelo Windows quando solicita o L2TP peer (cliente ou servidor). MPPE pode ser utilizado para ajudar a proteger o payload PPP quando Extensible Authentication Protocol Transport Layer Security (EAP-TLS) ou protocolo de autenticação Challenge Handshake da Microsoft (MS-CHAP) é utilizado.

MPPE utiliza a cifra de fluxo RC4 Rivest-Shamir-Adleman (RSA) e chaves secretas 40 bits, 56 bits ou 128 bits. As chaves MPPE são geradas a partir do MS-CHAP e EAP-TLS processos de autenticação de utilizador. O servidor de acesso remoto pode ser configurado para requerer encriptação de dados. Se o cliente de acesso remoto não é possível efectuar a encriptação necessária, a tentativa de ligação será rejeitada e poderá receber a seguinte mensagem de erro: IPSec é negociada antes de ser iniciado PPP; MPPE é negociado depois do PPP ser iniciado. PPP é executado sobre L2TP; utiliza o IPSec para o fazer. Durante a fase de autenticação PPP, um nome de utilizador é enviado para o componente de servidor de acesso remoto do servidor de rede privada virtual (VPN) utilizando o protocolo de autenticação configurado, tal como o MS-CHAP. O servidor de acesso remoto corresponde, em seguida, o nome de utilizador e outras propriedades de chamada a uma política de acesso remoto. Cada política tem um perfil e o servidor de acesso remoto compara as condições da chamada a receber com o perfil para determinar se aceitar o pedido de ligação.

Considerações sobre

• Se o Microsoft Windows 2000 Professional com Service Pack 2 ou anterior com o cliente VPN estiver protegido por qualquer rede dispositivo efectuar rede (address translation), a sessão L2TP falha porque encriptado os pacotes IPSec Encapsulating Security Payload (ESP) danificados. Se o cliente VPN no mesmo computador como o Windows Internet ligação À partilha/NAT, o cliente está provavelmente a não conseguir estabelecer uma sessão de L2TP, porque o NAT não efectua qualquer endereço IP ou conversão de porta quando pacotes provêm do seu próprio nó. Para obter informações adicionais sobre melhoramentos para IPSec que permitem a comunicação para clientes de VPN protegidos por dispositivos NAT, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  818043  (http://support.microsoft.com/kb/818043/ ) Actualização de L2TP/IPSec NAT-T para o Windows XP e Windows 2000
• Terá um certificado de máquina com uma chave privada. A chave privada pode ser encontrada no arquivo de certificados pessoais do computador local.
  
  Para obter informações adicionais sobre como instalar um certificado, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  253498  (http://support.microsoft.com/kb/253498/ ) Como instalar um certificado para utilização com a segurança IP
  Se não for encontrado um certificado de máquina, o L2TP emite um aviso que não têm um certificado, mas não sabe se o certificado tem uma chave privada correctamente instalada e associada para o certificado existente. IKE determina este durante a negociação. Iniciar o snap-in Certificados de computador local, faça duplo clique em certificados e verifique se Geral indica "Possui uma chave privada correspondente com este certificado." Além disso, verifique se o caminho do certificado está concluído e o certificado é válido.
  
  O cliente tem de ter um certificado de máquina cuja autoridade de certificação raiz é o mesmo o certificado no certificado de gateway. O motivo da falha certificado é registado pelo IKE na entrada de registo de segurança.Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  257225  (http://support.microsoft.com/kb/257225/ ) Resolução básica de IPSec problemas no Microsoft Windows 2000 Server
  Para obter informações adicionais sobre o tipo de certificado de computador a funcionar correctamente, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  249125  (http://support.microsoft.com/kb/249125/ ) Utilizar certificados para Windows 2000 e pela Cisco IOS VPN interoperação
  Ambos os lados tem de conseguir processar a validação de certificados com êxito. Se tiver êxito a autenticação de certificados, uma entrada na segurança iniciar notas o evento com êxito uma associação de segurança de modo principal IPSec (SA, Security ASSOCIATION) estabelecer (início/fim de sessão).
• Falha de IKE ao negociar: É possível verificar se o IPSec é ter êxito executando ipsecmon.exe quando tiver permissões de administrador local e quando as opções estão definidas para actualizar um segundo intervalos. Se vir a SA de IPSec aparecem, indica que IPSec com êxito e poderá concluir que o L2TP é a origem do problema. Utilize o comando netdiag/test: IPSec /v /debug para ver os detalhes da política IPSec.
  
  Nota Não consegue visualizar a política completa se um administrador de domínio tiver definido a política no computador local.Para obter informações adicionais sobre ipsecmon.exe e o comando netdiag, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  257225  (http://support.microsoft.com/kb/257225/ ) Resolução básica de IPSec problemas no Microsoft Windows 2000 Server
  Tenha também em atenção o seguinte:
  • Tempo de espera de IKE: IKE poderá exceder o tempo limite durante o pedido de negociação inicial routers à frente do servidor VPN activar a porta UDP 500 através do. IKE também o tempo limite se o servidor VPN não tiver a política IPSec apropriada configurada. Isto normalmente significa que o servidor de encaminhamento e acesso remoto não tem portas L2TP activadas ou que uma definição de política IPSec manual estiver mal configurada. Quando IKE expirar, o registo de auditoria mostra que peer não responder e um rastreio de captura de rede mostra ISAKMP UDP iniciar apenas do cliente de pacotes. Se o cliente VPN estiver configurado especificamente para L2TP, receberá a seguinte mensagem de erro:
    A negociação de segurança foi excedido.
    Se o cliente VPN estiver configurado com automático, irá tentar novamente a tarefa utilizando o protocolo seguinte na respectiva lista, nomeadamente PPTP.
  • Falha de IKE: Falha ao negociar IKE e as razões da falha registados no registo de segurança se activar as definições de segurança, auditorias de falhas de início de sessão/fim de sessão. IKE pode falhar porque as credenciais do certificado não funcionam ou porque existe um problema de configuração de política de IPSec, se definir a política de IPSec manual.Para obter informações adicionais sobre a política automática, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    248750  (http://support.microsoft.com/kb/248750/ ) Descrição da política IPSec criada para L2TP/IPSec
    Êxito da negociação IKE é registado no registo de auditoria. Para toda negociação de segurança IPSec ser bem sucedido, é necessário uma SA de modo principal estabelecer e estabelecer uma SA de modo rápido para a porta UDP 1701.
• Se ocorrer um dos seguintes sintomas, IPSec está não a causar o problema:
  • O registo de auditoria mostra o modo principal com êxito estabelecer a SA e estabelecer a SA de modo rápido com êxito.
  • O rastreio de captura de rede mostra tráfego ESP de origem do cliente ou servidor.
  • Ipsecmon.exe mostra uma SA de IPSec.
  Nota Existem sempre duas SAs de IPSec estabelecidas: um para cada direcção, cada um com o índice de parâmetros próprio segurança (SPI, Security Parameters Index). No entanto, ipsecmon.exe apresenta apenas a SA de saída.
• ESP bloqueado: quando NAT está à frente do cliente, ou quando os routers estiverem em frente da VPN, o servidor não pode activar protocolo 50, ESP, através do. A enviar tráfego ESP com o número de SPI, Security Parameters Index aparece, mas receber os pacotes ESP do gateway com um número diferente de SPI não aparecem.
• ESP modificado: se NAT, Network Address TRANSLATION, talvez um parâmetro com problemas ou outro nó de rede está a modificar ou danificando pacotes em qualquer ponto no caminho, os pacotes são ignorados pelo controlador IPSec e é apresentado o seguinte evento no registo do sistema do sistema de recepção:

  ID do evento: 4285
  Descrição:
  Falha na autenticação hash.

  Pacotes também poderão estar danificados por uma interface de rede com capacidades de descarga de IPSec. Para determinar se uma interface tem esta capacidade, utilize o seguinte comando:
  netsh int ip show offload
• Se o IPSec offload capacidade de uma rede placa é a causa provável, iniciar uma captura do Monitor de rede e ipsecmon.exe para analisar cada tentativa de ligação e para verificar o contador "Confidencial bytes recebidos" ipsecmon.exe para determinar se pacotes estão a ser perdidos em receber. Também pode definir o valor DWORD da seguinte subchave de registo com zero:
  HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload
  Se a ligação, em seguida, tiver êxito, o problema está offload relacionado. Outra alternativa de resolução de problemas consiste em desactivar a política IPSec automática.Para obter informações adicionais sobre como desactivar a política IPSec automática, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  240262  (http://support.microsoft.com/kb/240262/ ) Como configurar uma ligação de L2TP/IPSec utilizando a autenticação por chave pré-partilhada
• Se o agente de política IPSec tiver sido parado, utilizando o snap-in Serviços ou o comando net stop policyagent , perde-se a configuração de política de IPSec automática do L2TP. Para clientes VPN, a política é marcada automaticamente quando o cliente (Dial Networking) é iniciado. Certifique-se que o serviço de agente de política de IPSec está iniciado e em execução antes de iniciar o cliente (Dial Networking). Depois de clicar em ligar e a tentativa de ligação está em curso, pode utilizar o comando netdiag/test: IPSec /v /debug para ver as estatísticas IPSec e activos filtros.
  
  Nota Se não tiverem as permissões de administrador de domínio, pode utilizar o parâmetro /Debug .Para obter informações adicionais sobre outros problemas possíveis, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  247231  (http://support.microsoft.com/kb/247231/ ) ID de evento 20111, erro 792 ou erro 781 quando estabelece uma ligação L2TP/IPSec

Para mais informações sobre a VPN, visite o seguinte Web site da Microsoft: Para obter informações adicionais sobre a resolução de problemas de IPSec, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: