本文包含可協助第二層通道通訊協定 (L2TP) 和 Windows 中的網際網路通訊協定安全性 (IPSec) 的疑難排解的資訊。
L2TP 是標準,可讓不同網路之間的點對點通訊協定 (PPP) 流量傳送,要求的註解 (RFC) 2661,"層二通道通訊協定 L2TP 」 所述。L2TP 是與 IPSec 通道設定和安全性,提供任何 IP 網路上,網際網路通訊協定 (IP)、 網際網路封包交換 (IPX) 和其他通訊協定封包結合。
L2TP 封裝在 PPP 框架內的原始封包,並且執行壓縮時可能。此外,L2TP 封裝內使用者資料包通訊協定 (UDP)-指派給連接埠 1701年的型別封包。因為 UDP 封包的 IP 傳輸通訊協定一部份 L2TP 自動使用 IPSec 來協助保護安全通道。L2TP 的運作根據 L2TP 通道的使用者設定] 中的 [安全性] 設定。預設情況下,IPSec 網際網路金鑰交換 (IKE) 通訊協定會使用以憑證為主的驗證交涉 L2TP 通道的安全性。這個驗證程序會使用電腦憑證不使用者憑證來驗證來源電腦和目的電腦信任彼此。如果成功建立 IPSec 傳輸安全性時 L2TP 會交涉通道,並且執行根據使用者的識別身份的存取控制。L2TP 會交涉通道時, 它會交涉壓縮] 和 [使用者驗證選項。
L2TP/IPSec 封包結構看起來類似下列的範例。
附註PPP 承載包含原始 IP 資料包。斜體文字代表什麼使用 IPSec 加密。
|IP header|IPSec ESP header| UDP header|L2TP header|PPP header|PPP payload|IPSec ESP trailer |IPSec 驗證 trailer|
L2TP 對等 (用戶端或伺服器) 要求時,會由 Windows 交涉 Microsoft 點對點加密通訊協定 (MPPE)。MPPE 可以用來協助保衛 PPP 承載,當 「 可延伸驗證通訊協定使用傳輸層安全性 (EAP-TLS) 或 Microsoft 挑戰賽信號交換說明 > (驗證通訊協定 」 (MS-CHAP)。
MPPE 使用具有 Shamir Adleman RSA RC4 資料流編碼器和 40 位元、 56 位元或 128 位元密鑰。MPPE 金鑰所產生的是從 MS-CHAP 和 EAP-TLS 的使用者驗證處理程序。遠端存取伺服器可以設定為需要資料加密。如果遠端存取用戶端無法執行必要的加密,會拒絕連線嘗試,而且可能會收到下列錯誤訊息:
IPSec 會交涉 PPP 啟動之前 ; MPPE 交涉 PPP 開始之後。 透過 L2TP PPP 執行 ; 使用 IPSec 來執行這項操作。在 PPP 驗證階段的使用者名稱藉由使用設定的驗證通訊協定,如 MS-CHAP 將傳送至虛擬私人網路 (VPN) 伺服器的遠端存取伺服器的元件。使用者名稱和其他呼叫屬性,以遠端存取原則,然後比對遠端存取伺服器。 每個原則具有一個設定檔,而且遠端存取伺服器會比較來決定是否要接受連線要求的設定檔來電的條件。
考量
- 如果您 Microsoft Windows 2000 專業版與 Service Pack 2 或較早為基礎的 VPN 用戶端位於任何網路裝置執行網路位址轉譯 (NAT),L2TP 工作階段便會失敗,因為加密的 IPSec 封裝安全承載 (ESP) 封包損毀。如果 VPN 用戶端在 Windows 網際網路連線共用/網路位址轉譯與相同的電腦上,用戶端是可能能夠建立 L2TP 工作階段,因為 NAT 並不會執行任何的 IP 位址或連接埠轉譯時封包來自自己的節點。 取得更多資訊有關 IPSec 改良,可讓是位於 NAT 裝置之後的 VPN 用戶端的通訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
818043?
(http://support.microsoft.com/kb/818043/
)
Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新
- 您需要的機器憑證以私用金鑰。私人識別碼可以找到在本機電腦個人憑證存放區中。
如需有關安裝憑證的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 253498?
(http://support.microsoft.com/kb/253498/
)
如何安裝使用的憑證具有 IP 安全性
如果找不到機器憑證,L2TP 會發出警告沒有一個憑證,但是它並不知道憑證是否都現有的憑證有正確安裝且相關私用金鑰。 IKE 會決定此交涉期間。啟動 [本機電腦憑證] 嵌入式管理單元、 按兩下 憑證,並確認 一般 指出 「 您具有與此憑證相對應的私密金鑰 」。而且,請確認憑證路徑完成,且該憑證有效。
用戶端必須要有其根憑證授權單位是閘道憑證上憑證一樣的機器憑證。IKE 會標記憑證失敗原因,在安全性記錄項目中。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 257225?
(http://support.microsoft.com/kb/257225/
)
在 Microsoft Windows 2000 Server 的基本 IPSec 疑難排解
如其他有關哪一種電腦憑證可正常運作的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項: 249125?
(http://support.microsoft.com/kb/249125/
)
使用 Windows 2000 及 Cisco IOS VPN 互通的憑證
雙方必須能夠順利處理憑證驗證。 如果憑證驗證成功,[安全性] 中的項目,會記錄成功的事件的 IPSec 主要模式安全性關聯 (SA) 建立 (登入/登出) 的備忘稿。 - 若要交涉 IKE 失敗: 您可以確認是否藉由時您擁有本機系統管理員權限,以及當選項設定為在一秒的時間間隔更新時,執行 Ipsecmon.exe 後續 IPSec。如果您看到 [IPSec SA 會出現它表示 IPSec 成功,您可能推斷 L2TP 是問題的來源。使用 netdiag /test:ipsec/v/debug 命令來查看 IPSec 原則的詳細資料。
附註如果網域系統管理員已在本機電腦上設定原則,您無法看到整個原則。如其他有關 Ipsecmon.exe 以及 netdiag 指令,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項: 257225?
(http://support.microsoft.com/kb/257225/
)
在 Microsoft Windows 2000 Server 的基本 IPSec 疑難排解
也請注意下列事項:- IKE 逾時: IKE 可能會逾時時間初始交涉要求期間如果 VPN 伺服器的前面的路由器,請不要啟用透過 UDP 連接埠 500。如果 VPN 伺服器並沒有適當設定的 IPSec 原則 IKE 也逾時。這通常表示路由及遠端存取伺服器沒有啟用 L2TP 連接埠,或是手動的 IPSec 原則設定設定錯誤。當 IKE 逾時,稽核追蹤會顯示出對等沒有未回覆,而網路擷取追蹤顯示 ISAKMP UDP 封包只會從您的用戶端起始。如果 VPN 用戶端設定特地為 L2TP,您會收到下列錯誤訊息: 如果 VPN 用戶端設定與自動,它工作再次嘗試使用它的清單即 PPTP 上的下一個通訊協定。
- IKE 失敗: 無法交涉 IKE 和失敗的原因記錄在安全性記錄檔如果您啟用安全性設定、 登入/登出失敗稽核。IKE 可能會失敗,因為憑證認證無法運作,或因為有是 IPSec 原則組態問題,如果它們設定手動 IPSec 原則。如其他有關自動原則,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
248750?
(http://support.microsoft.com/kb/248750/
)
建立 L2TP/IPSec 的 IPSec 原則的描述
成功的 IKE 交涉會標記於稽核追蹤。對於整個 IPSec 安全性交涉才能成功,您需要兩個主要模式 SA 建立,並為 UDP 連接埠 1701年建立快速模式 SA。
- 如果其中一個下列徵狀發生 IPSec 不會造成問題:
- 稽核追蹤會顯示成功的主要模式 SA 建立和成功的快速模式 SA 建立。
- 網路擷取追蹤顯示起始從用戶端或伺服器的 ESP 流量。
- Ipsecmon.exe 顯示 IPSec SA。
附註總是會有兩個建立的 IPSec SA: 一個用於每一個方向,每個與它自己的安全性參數索引 (SPI)。不過,Ipsecmon.exe 顯示傳出的 SA。 - ESP 封鎖: 伺服器當 NAT 是用戶端的前面或前面的 VPN 路由器時可能未啟用通訊協定 50,ESP,透過。 連出 ESP 流量 SPI 數字出現,但沒有顯示從不同的 SPI 編號閘道的連入 ESP 封包。
- ESP 修改: 如果修改 [NAT 或也許錯誤參數或其他網路節點或損毀路徑上的任何一處的封包,封包所中斷則 IPSec 驅動程式和下列的事件都會出現在系統記錄檔中的接收的系統:
事件識別碼: 4285
描述:
無法驗證雜湊。
封包也可能使用 IPSec 卸載能力的網路介面由損毀。如果,要判斷介面是否有這項功能使用下列命令:netsh int IP 放映卸載
- 如果 [IPSec 卸載能力的網路介面卡是可疑的原因、 啟動網路監視器擷取並 Ipsecmon.exe 分析每個連線嘗試,並確認 「 機密位元組已接收 」 計數器 Ipsecmon.exe 來判斷是否正在上遺失的封包中接收。您也可以設定下列登錄子機碼,以零 DWORD 的值:
HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload
240262?
(http://support.microsoft.com/kb/240262/
)
如何設定使用預先共用金鑰驗證 L2TP/IPSec 連線
- 如果 IPSec 原則代理程式已停止使用 [服務] 嵌入式管理單元或 net stop policyagent 命令,L2TP 自動 IPSec 原則設定將會遺失。VPN 用戶端的原則是自動 plumbed 啟動用戶端 connectoid 時。請確定在 IPSec 原則代理程式服務是啟動和執行在啟動用戶端 connectoid 之前。按一下 [連線,並且此時連線嘗試在進度之後,您可以使用 netdiag /test:ipsec/v/debug 命令來查看 IPSec 統計資料和作用中的篩選器。
附註如果您沒有網域系統管理員權限無法使用 / 偵錯 參數。如其他可能的問題的其他有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 247231?
(http://support.microsoft.com/kb/247231/
)
事件識別碼 20111、 錯誤 792 或錯誤 781 建立 L2TP/IPSec 連線時
如需有關 VPN 的詳細資訊,請造訪下列 Microsoft 網站]:
如 IPSec 疑難排解的其他有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
257225?
(http://support.microsoft.com/kb/257225/
)
在 Microsoft Windows 2000 Server 的基本 IPSec 疑難排解
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
機器翻譯
回此頁最上方
