Procedure: Een VPN-server (Virtual Private Network) installeren en configureren in Windows 2000

Met een VPN-netwerk kunt u onderdelen van verschillende netwerken met elkaar verbinden via een ander netwerk, bijvoorbeeld internet. U kunt uw Windows 2000 Server-computer instellen als RAS-server, zodat andere gebruikers er via VPN verbinding mee kunnen maken en vervolgens toegang hebben tot gedeelde bestanden op uw lokale stations of in uw netwerk. Dit gebeurt door middel van 'tunneling' via internet of een ander openbaar netwerk met dezelfde beveiliging en functies als een particulier netwerk. Bij een VPN-netwerk kunnen via verbindingen met het openbare netwerk gegevens worden overgebracht met behulp van de routeringsinfrastructuur van internet. Voor gebruikers lijkt het echter net of de gegevens via een particuliere koppeling worden overgebracht.

In dit artikel wordt beschreven hoe u een virtueel particulier netwerk (VPN) installeert en hoe u een nieuwe VPN-verbinding maakt in Windows 2000.

Overzicht van VPN

Met een VPN-netwerk kan via een openbaar netwerk (zoals internet) verbinding worden gemaakt met een particulier netwerk (zoals uw kantoornetwerk). Hierbij profiteert u van de voordelen van een inbelverbinding met een inbelserver en van het gemak en de flexibiliteit van een internetverbinding. Met een internetverbinding kunt u wereldwijd bijna overal verbinding maken met uw kantoor tegen lokale gesprekstarieven door het dichtstbijzijnde internettoegangsnummer te bellen. Als u op uw computer (en op uw kantoor) een snelle internetverbinding hebt, zoals kabel of DSL, kunt u veel sneller met uw kantoor communiceren dan via een inbelverbinding met een analoge modem.

VPN-netwerken maken gebruik van geverifieerde koppelingen om ervoor te zorgen dat alleen goedgekeurde gebruikers verbinding kunnen maken met uw netwerk. Bovendien worden gegevens gecodeerd om te voorkomen dat anderen gegevens die via internet worden verzonden, onderscheppen en gebruiken. Voor deze beveiliging gebruikt Windows het PPTP-protocol (Point-to-Point Tunneling) of het L2TP-protocol (Layer Two Tunneling Protocol).

Met VPN-technologie kan een bedrijf ook verbinding maken met filialen of andere bedrijven via een openbaar netwerk (zoals internet) terwijl de communicatie toch beveiligd blijft. De VPN-verbinding via internet werkt als een exclusieve WAN-koppeling (Wide Area Network).

Onderdelen van een VPN

In Windows 2000 bestaat een VPN uit een VPN-server, een VPN-client, een VPN-verbinding (het deel van de verbinding waarin de gegevens worden gecodeerd) en een tunnel (het deel van de verbinding waarin de gegevens worden ingekapseld). De tunneling vindt plaats via een van de twee tunnelingprotocollen van Windows 2000 die worden geïnstalleerd bij de installatie van Routering en RAS. In Windows 2000 zijn de volgende twee tunnelingprotocollen beschikbaar:

• Point-to-Point Tunneling Protocol (PPTP): gegevenscodering via Microsoft Point-to-Point-codering.
• Layer Two Tunneling Protocol (L2TP): gegevenscodering, verificatie en integriteitscontrole via IPSec.

Voor de verbinding met internet moet een speciale lijn worden gebruikt, zoals T1, Fractional T1 of Frame Relay. De WAN-adapter moet worden geconfigureerd met het IP-adres en subnetmasker dat aan uw domein is toegewezen of dat u van uw internetprovider (ISP) hebt gekregen. De standaardgateway van de ISP-router moet eveneens worden ingesteld.

OPMERKING: Als u VPN wilt inschakelen, moet u via een account met beheerdersrechten zijn aangemeld.

VPN installeren en activeren

Ga als volgt te werk als u een VPN-server wilt installeren en activeren:

1. Zorg dat zowel de verbinding met internet als met uw lokaal netwerk (LAN) juist zijn geconfigureerd op de Microsoft Windows 2000 VPN-computer.
2. Klik op Start, wijs Systeembeheer aan en klik op Routering en RAS.
3. Klik op de naam van de server in de structuur, open het menu Actie en klik op Routering en RAS configureren en inschakelen. Klik op Volgende.
4. Klik in het dialoogvenster Algemene configuratie op VPN-server en klik op Volgende.
5. Controleer in het dialoogvenster Protocollen voor externe clients of TCP/IP is opgenomen in de lijst. Klik op Ja, alle beschikbare protocollen staan in de lijst en klik op Volgende.
6. Selecteer in het dialoogvenster Internet-verbinding de verbinding die u voor internet gebruikt en klik op Volgende.
7. Selecteer Automatisch in het dialoogvenster IP-adrestoewijzing om de DHCP-server in uw subnet te gebruiken voor het toewijzen van IP-adressen aan inbelclients en aan de server.
8. Zorg dat het selectievakje Nee, ik wil deze server nu niet configureren voor het gebruik van RADIUS in het dialoogvenster Meerdere RAS-servers beheren is ingeschakeld.
9. Klik op Volgende en klik op Voltooien.
10. Klik met de rechtermuisknop op het knooppunt Poorten en klik op Eigenschappen.
11. Klik in het dialoogvenster Poorteigenschappen op het apparaat WAN-minipoort (PPTP) en klik op Configureren.
12. Voer in het dialoogvenster Apparaat configureren - WAN-minipoort (PPTP) een van de volgende handelingen uit:
    • Als u niet wilt dat gebruikers via VPN rechtstreeks kunnen inbellen naar modems op de server, schakelt u het selectievakje Routeringsverbindingen via bellen op verzoek (binnenkomend en uitgaand) uit.
    • Als u gebruikers wel rechtstreeks via VPN wilt laten inbellen naar modems op de server, schakelt u het selectievakje Routeringsverbindingen via bellen op verzoek (binnenkomend en uitgaand) in.
13. Geef het maximum aantal gelijktijdige PPTP-verbindingen op in het tekstvak Maximum aantal poorten. Het maximum aantal is afhankelijk van het aantal beschikbare IP-adressen.
14. Herhaal stap 11 tot en met 13 voor het L2TP-apparaat en klik op OK.

De VPN-server configureren

Voer de volgende stappen uit als u de VPN-server verder wilt configureren.

De RAS-server configureren als een router

Als u via de RAS-server verkeer wilt doorsturen in uw netwerk, moet u de server configureren als een router met statische routes of routeringsprotocollen, zodat alle locaties in het intranet toegankelijk zijn voor de RAS-server.

De server configureren als een router:

1. Klik op Start, wijs Systeembeheer aan en klik op Routering en RAS.
2. Klik met de rechtermuisknop op de naam van de server en klik op Eigenschappen.
3. Klik op het tabblad Algemeen en schakel het selectievakje Server als router inschakelen in.
4. Selecteer Alleen voor LAN-routering of Voor LAN-routering en routering via bellen op verzoek en klik op OK om het dialoogvenster Eigenschappen te sluiten.

PPTP-poorten configureren

Bevestig het aantal gewenste PPTP-poorten. Ga als volgt te werk om het aantal poorten te controleren of poorten toe te voegen:

1. Klik op Start, wijs Systeembeheer aan en klik op Routering en RAS.
2. Vouw in de consolestructuur achtereenvolgens Routering en RAS en de naam van de server uit en klik op Poorten.
3. Klik met de rechtermuisknop op Poorten en klik op Eigenschappen.
4. Klik in het dialoogvenster Poorteigenschappen op WAN-minipoort (PPTP) en klik op Configureren.
5. Selecteer in het dialoogvenster Apparaat configureren het maximum aantal poorten voor het apparaat. Geef op of het apparaat uitsluitend inkomende verbindingen accepteert of zowel inkomende als uitgaande verbindingen accepteert.

Adressen en naamservers beheren

Voor de VPN-server moeten IP-adressen beschikbaar zijn die aan de virtuele interface van de VPN-server en aan de VPN-clients kunnen worden toegewezen tijdens de IPCP-onderhandelingsfase van de verbindingsprocedure. Het IP-adres dat wordt toegewezen aan de VPN-client wordt toegewezen aan de virtuele interface van de VPN-client.

Voor Windows 2000 VPN-servers worden de IP-adressen die worden toegewezen aan VPN-clients standaard verkregen via DHCP. U kunt ook een statische IP-adresgroep configureren. De VPN-server moet ook worden geconfigureerd met adressen van servers voor naamomzetting, meestal DNS- en WINS-servers, die aan de VPN-client kunnen worden toegewezen tijdens IPCP-onderhandelingen.

Toegang beheren

Configureer de inbeleigenschappen voor gebruikersaccounts en het RAS-beleid voor het beheer van de toegang tot inbelnetwerken en VPN-verbindingen.

OPMERKING: Standaard hebben gebruikers geen bevoegdheid om gebruik te maken van een inbelverbinding.

Toegang via gebruikersaccount

Als u de externe toegang per gebruiker wilt instellen, klikt u op Toegang toestaan op het tabblad Inbellen in het dialoogvenster Eigenschappen van de gebruikersaccounts die toestemming hebben om VPN-verbindingen tot stand te brengen. Als via de VPN-server uitsluitend VPN-verbindingen zijn toegestaan, verwijdert u het standaard RAS-beleid 'Toegang toestaan als inbelmachtiging is ingeschakeld'. Maak een nieuw RAS-beleid met een omschrijvende naam, bijvoorbeeld 'VPN-toegang bij toestemming via gebruikersaccount'. Raadpleeg de Help van Windows 2000 voor meer informatie.

WAARSCHUWING: Wanneer u het standaardbeleid verwijdert, wordt de toegang geweigerd aan inbelclients die geen toegang hebben tot een van de beleidsconfiguraties die u hebt gemaakt.

Verwijder het standaardbeleid niet als de VPN-server ook toegang biedt tot RAS-inbelservices, maar verplaats het zodat dit beleid als laatste wordt geëvalueerd.

Toegang via groepslidmaatschap

Als u externe toegang beheert voor groepen gebruikers, selecteert u het keuzerondje Toegang beheren door middel van RAS-beleid voor alle gebruikersaccounts via de console Active Directory: gebruikers en computers in Systeembeheer of de MMC-module. Maak een Windows 2000-groep met leden die toestemming hebben om VPN-verbindingen te maken. Als via de VPN-server uitsluitend VPN-verbindingen zijn toegestaan, verwijdert u het standaard RAS-beleid 'Toegang toestaan als inbelmachtiging is ingeschakeld'. Maak vervolgens een nieuw RAS-beleid met een omschrijvende naam, bijvoorbeeld 'VPN-toegang voor leden' of 'Groep met VPN-toegang' en wijs de Windows 2000-groep toe aan het beleid.

Verwijder het standaardbeleid niet als de VPN-server ook toegang biedt tot RAS-inbelservices, maar verplaats het zodat dit beleid als laatste wordt geëvalueerd.

Een VPN-verbinding configureren vanaf een clientcomputer

Als u een VPN-verbinding wilt instellen, gaat u als volgt te werk:

1. Controleer op de clientcomputer of de verbinding met internet goed is geconfigureerd.
2. Klik op Start, wijs Instellingen aan en klik op Netwerk- en inbelverbindingen.
3. Dubbelklik op Nieuwe verbinding maken.
4. Klik op Volgende, klik op Verbinding maken met een particulier netwerk via het Internet en klik op Volgende.
5. Voer een van de volgende bewerkingen uit:
   • Als u via een inbelverbinding verbinding maakt met internet, klikt u op Automatisch deze aanvangsverbinding kiezen en selecteert u uw inbelverbinding met internet in de lijst.
   • Als u een permanente verbinding gebruikt (bijvoorbeeld een kabelmodem), klikt u op Niet automatisch een aanvangsverbinding kiezen.
6. Klik op Volgende.
7. Typ de hostnaam (bijvoorbeeld Microsoft.com) of het IP-adres (bijvoorbeeld 123.123.123.123) van de computer waarmee u verbinding wilt maken en klik op Volgende.
8. Selecteer Voor alle gebruikers als u de verbinding beschikbaar wilt maken voor iedereen die zich aanmeldt bij de computer of selecteer Alleen voor mijzelf om de verbinding alleen beschikbaar te maken als u zich aanmeldt bij de computer. Klik op Volgende.
9. Typ een beschrijvende naam voor de verbinding en klik op Voltooien.
   
   OPMERKING: Deze optie is alleen beschikbaar als u bent aangemeld als lid van de groep Administrators.
10. Klik op Start, wijs Instellingen aan en klik op Netwerk- en inbelverbindingen.
11. Dubbelklik op de nieuwe verbinding.
12. Klik op Eigenschappen en configureer de overige opties voor de verbinding:
    
    • Als u verbinding wilt maken met een domein, klikt u op de tab Opties en schakelt u het selectievakje Inclusief het Windows-aanmeldingsdomein in om op te geven of informatie over het Windows 2000-aanmeldingsdomein moet worden opgevraagd voor de verbinding.
    • Als u wilt dat er opnieuw wordt ingebeld als de verbinding wordt verbroken, klikt u op de tab Opties en schakelt u het selectievakje Opnieuw kiezen als de verbinding wordt verbroken in.

De verbinding gebruiken:

1. Klik op Start, wijs Instellingen aan en klik op Netwerk- en inbelverbindingen.
2. Dubbelklik op de nieuwe verbinding.
3. Als u momenteel geen verbinding hebt met internet, wordt u gevraagd of u verbinding wilt maken.
4. Nadat er verbinding met internet tot stand is gekomen, wordt uw gebruikersnaam en wachtwoord gevraagd. Voer uw gebruikersnaam en wachtwoord in en klik op Verbinden. U krijgt nu op dezelfde manier toegang tot uw netwerkbronnen als bij een rechtstreekse verbinding met het netwerk. Opmerking Als u de verbinding via het VPN-netwerk wilt verbreken, klikt u met de rechtermuisknop op het pictogram voor de verbinding en klikt u op Verbinding verbreken.

Probleemoplossing

Problemen met externe VPN-toegang oplossen

Er kan geen externe VPN-verbinding tot stand worden gebracht

• Oorzaak De naam van de client-computer is hetzelfde als de naam van de andere computer in het netwerk.
  
  Oplossing Zorg dat alle computers in het netwerk en alle computers die verbinding maken met het netwerk unieke namen hebben.
• Oorzaak De service Routing and Remote Access wordt niet gestart op de VPN-server.
  
  Oplossing Controleer de status van de service Routing and Remote Access op de VPN-server.
  
  Raadpleeg de Help van Windows 2000 voor meer informatie over het controleren van de service Routing and Remote Access en over het starten en stoppen van de service Routing and Remote Access.
• Oorzaak RAS is niet ingeschakeld op de VPN-server.
  
  Oplossing Schakel RAS in op de VPN-server.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het inschakelen van de RAS-server.
• Oorzaak De PPTP- of L2TP-poorten zijn niet ingeschakeld voor inkomende RAS-verzoeken.
  
  Oplossing Schakel de PPTP- of L2TP-poorten in voor inkomende RAS-verzoeken.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van poorten voor RAS.
• Oorzaak De LAN-protocollen die worden gebruikt door de VPN-clients zijn niet ingeschakeld voor RAS op de VPN-server.
  
  Oplossing Schakel de LAN-protocollen die worden gebruikt door de VPN-clients in voor RAS op de VPN-server.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het weergeven van eigenschappen van de RAS-server.
• Oorzaak Alle PPTP- of L2TP-poorten op de VPN-server worden al gebruikt door verbonden RAS-clients of door routers voor bellen op verzoek.
  
  Oplossing Controleer of er PPTP- of L2TP-poorten op de VPN-server vrij zijn door te klikken op Poorten in Routering en RAS. Wijzig indien nodig het aantal PPTP- of L2TP-poorten om meer gelijktijdige verbindingen mogelijk te maken.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van PPTP- of L2TP-poorten.
• Oorzaak De VPN-server ondersteunt het tunnelingprotocol van de VPN-client niet.
  
  Standaard gebruiken VPN-clients voor externe toegang in Windows 2000 de serveroptie Automatisch, hetgeen betekent dat eerst wordt geprobeerd een L2TP/IPSec VPN-verbinding tot stand te brengen en vervolgens wordt geprobeerd een PPTP VPN-verbinding tot stand te brengen. Als VPN-clients het servertype Point-to-Point Tunneling Protocol (PPTP) of Layer-2 Tunneling Protocol (L2TP) gebruiken, controleer dan of het geselecteerde tunnelingprotocol wordt ondersteund door de VPN-server.
  
  Op een computer met Windows 2000 Server en de service Routing and Remote Access is standaard een PPTP- en L2TP-server met vijf L2TP-poorten en vijf PPTP-poorten beschikbaar. Als u een server met uitsluitend PPTP-poorten wilt configureren, stelt u het aantal L2TP-poorten in op nul. Als u een server met uitsluitend L2TP-poorten wilt configureren, stelt u het aantal PPTP-poorten in op nul.
  
  Oplossing Controleer of het juiste aantal PPTP- of L2TP-poorten is ingesteld.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van PPTP- of L2TP-poorten.
• Oorzaak Er is geen gemeenschappelijke verificatiemethode beschikbaar voor de VPN-client en de VPN-server bij het ingestelde RAS-beleid.
  
  Oplossing Configureer de VPN-client, de VPN-server en het RAS-beleid zodanig dat er minimaal één gemeenschappelijke verificatiemethode beschikbaar is.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van de verificatie.
• Oorzaak Er is geen gemeenschappelijke coderingsmethode beschikbaar voor de VPN-client en de VPN-server bij het ingestelde RAS-beleid.
  
  Oplossing Configureer de VPN-client, de VPN-server en het RAS-beleid zodanig dat er minimaal één gemeenschappelijke coderingsmethode beschikbaar is.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van de codering.
• Oorzaak De VPN-verbinding beschikt niet over de juiste machtigingen via de inbeleigenschappen van de gebruikersaccount en het RAS-beleid.
  
  Oplossing Zorg dat de juiste machtigingen beschikbaar zijn voor de VPN-verbinding via de inbeleigenschappen van de gebruikersaccount en het RAS-beleid. De verbinding kan tot stand worden gebracht als de instellingen aan de volgende voorwaarden voldoen:
  
  
  • Overeenkomen met alle voorwaarden van tenminste één RAS-beleid.
  • Machtiging verlenen voor externe toegang via de gebruikersaccount (ingesteld op Toegang toestaan) of via de gebruikersaccount (ingesteld op Toegang beheren via RAS-beleid) en de RAS-machtiging van het overeenkomstige RAS-beleid (ingesteld op RAS-machtiging verlenen).
  • Overeenkomen met alle instellingen van het profiel.
  • Overeenkomen met alle instellingen van de inbeleigenschappen van de gebruikersaccount.
  Zie de on line Help van Windows 2000 voor informatie over het RAS-beleid en over het accepteren van een verbinding.
• Oorzaak De instellingen van het RAS-beleidsprofiel veroorzaken een conflict met de eigenschappen van de VPN-server.
  
  Zowel de eigenschappen van het RAS-beleidsprofiel als de eigenschappen van de VPN-server bevatten instellingen voor het volgende:
  
  
  • Multilink-verbindingen
  • BAP (Bandwidth Allocation Protocol)
  • Verificatieprotocollen
  Als de instellingen van het overeenkomende RAS-beleidsprofiel een conflict veroorzaken met de instellingen van de VPN-server, wordt de verbinding geweigerd. Als in het overeenkomende RAS-beleidsprofiel bijvoorbeeld wordt aangegeven dat het verificatieprotocol EAP-TLS moet worden gebruikt terwijl EAP niet is ingeschakeld op de VPN-server, wordt de verbinding geweigerd.
  
  Oplossing Zorg dat de instellingen van het RAS-beleidsprofiel geen conflict veroorzaken met de eigenschappen van de VPN-server.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het inschakelen van verificatieprotocollen en over het configureren van de verificatie.
• Oorzaak De antwoordende router kan de referenties (gebruikersnaam, wachtwoord en domeinnaam) van de aanvragende router niet valideren.
  
  Oplossing Zorg dat de referenties van de VPN-client (gebruikersnaam, wachtwoord en domeinnaam) juist zijn en kunnen worden gevalideerd door de VPN-server.
• Oorzaak Er zijn onvoldoende adressen beschikbaar in de statische IP-adresgroep.
  
  Oplossing Als de VPN-server is geconfigureerd met een statische IP-adresgroep, zorg dan dat er voldoende adressen beschikbaar zijn in de groep. Als alle adressen in de statische groep zijn toegewezen aan verbonden VPN-clients, kan de VPN-server geen IP-adres meer toewijzen en wordt de verbinding geweigerd. Wijzig indien nodig de statische IP-adresgroep. Zie de on line Help van Windows 2000 voor meer informatie over TCP/IP en RAS en over het maken van een statische IP-adresgroep.
• Oorzaak De VPN-client is geconfigureerd voor het opvragen van het eigen IPX-knooppuntnummer, maar de VPN-server staat het opvragen van het eigen IPX-knooppuntnummer door IPX-clients niet toe.
  
  Oplossing Configureer de VPN-server zodanig dat IPX-clients hun eigen IPX-knooppuntnummer kunnen opvragen.
  
  Zie de on line Help van Windows 2000 voor meer informatie over IPX en RAS.
• Oorzaak De VPN-server is geconfigureerd met een reeks IPX-netwerknummers die elders in uw IPX-netwerk worden gebruikt.
  
  Oplossing Configureer de VPN-server met een reeks unieke IPX-netwerknummers die uitsluitend worden gebruikt door het IPX-netwerk.
  
  Zie de on line Help van Windows 2000 voor meer informatie over IPX en RAS.
• Oorzaak De verificatieprovider van de VPN-server is niet juist geconfigureerd.
  
  Oplossing Controleer de configuratie van de verificatieprovider. Voor de verificatie van de referenties van de VPN-client kan de VPN-server gebruikmaken van Windows 2000 of van RADIUS.
  
  Zie de on line Help van Windows 2000 voor meer informatie over verificatie- en accountingproviders en over het gebruik van RADIUS-verificatie.
• Oorzaak De VPN-server heeft geen toegang tot Active Directory.
  
  
  Oplossing Controleer het volgende als de VPN-server een lidserver is in een Windows 2000-domein in de gemengde modus of native modus dat voor Windows 2000-verificatie is geconfigureerd:
  
  
  • De beveiligingsgroep RAS- en IAS-servers bestaat. Indien dit niet het geval is, maakt u de groep en stelt u het type in op Beveiliging en het bereik op Domeingebonden.
  • De beveiligingsgroep RAS- en IAS-servers heeft leesbevoegdheid voor het object RAS and IAS Servers Access Check.
  • De computeraccount van de VPN-server is lid van de beveiligingsgroep RAS- en IAS-servers. Met de opdracht netsh ras show registeredserver kunt u de huidige registratie weergeven. U kunt de opdracht 'netsh ras add registeredserver' gebruiken om de server te registreren in een specifiek domein.
    
    Als u de VPN-server toevoegt aan of verwijdert uit de beveiligingsgroep RAS- en IAS-servers, wordt deze wijziging niet meteen doorgevoerd (door de manier waarop Windows 2000 Active Directory-gegevens in het cachegeheugen plaatst). Start de computer met de VPN-server opnieuw op als u de wijziging meteen wilt doorvoeren.
  • Bij een domein in de native modus is de VPN-server lid geworden van het domein.
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een groep, het controleren van machtigingen voor de RAS- en IAS-beveiligingsgroep en over NetShell-opdrachten voor RAS.
• Oorzaak Een Windows NT 4.0 VPN-server kan geen verbindingsverzoeken valideren.
  
  Oplossing Als VPN-clients inbellen bij een VPN-server met Windows NT 4.0 die lid is van een gemengd Windows 2000-domein, kunt u met de volgende opdracht controleren of de groep Iedereen is toegevoegd aan de groep Pre-Windows 2000-compatibele toegang:
  net localgroup "Pre-Windows 2000-compatibele toegang"
  Als dit niet het geval is, typt u de volgende opdracht bij een opdrachtprompt op een domeincontroller en start u de domeincontroller opnieuw op:
  net localgroup "Pre-Windows 2000-compatibele toegang" Iedereen /add
  Zie de on line Help van Windows 2000 voor meer informatie over het gebruik van een Windows NT 4.0 RAS-server in een Windows 2000-domein.
• Oorzaak De VPN-server kan niet communiceren met de geconfigureerde RADIUS-server.
  
  Oplossing Als de RADIUS-server alleen toegankelijk is via de internetinterface, voegt u een invoerfilter en een uitvoerfilter toe aan de internetinterface voor UDP-poort 1812 (op basis van RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"), of UDP-poort 1645 (voor oudere RADIUS-servers) voor de RADIUS-verificatie en voor UDP-poort 1813 (op basis van RFC 2139, "RADIUS-accounting") of UDP-poort 1646 (voor oudere RADIUS-servers) voor RADIUS-accounting.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een pakketfilter.
• Oorzaak Er kan geen verbinding met de VPN-server worden gemaakt via internet met het hulpprogramma Ping.exe.
  
  Oplossing Door de PPTP- en L2TP/IPSec-pakketfiltering die is ingesteld voor de internetinterface van de VPN-server, worden ICMP-pakketten (Internet Control Message Protocol) die door de opdracht ping worden gebruikt, uitgefilterd. U kunt de VPN-server laten reageren op ICMP-pakketten (ping) door een invoerfilter en een uitvoerfilter toe te voegen waarmee gegevensverkeer voor IP-protocol 1 (ICMP-verkeer) mogelijk wordt gemaakt.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een pakketfilter.

Problemen met router-to-router VPN-verbindingen oplossen

Het is niet mogelijk om een router-to-router VPN-verbinding tot stand te brengen.

• Oorzaak De service Routing and Remote Access is niet gestart op de VPN-client (de aanvragende router) en de VPN-server (de antwoordende router).
  
  Oplossing Controleer de status van de service Routing and Remote Access op de VPN-client en de VPN-server.
  
  Raadpleeg de Help van Windows 2000 voor meer informatie over het controleren van de service Routing and Remote Access en over het starten en stoppen van de service Routing and Remote Access.
• Oorzaak LAN- en WAN-routering is niet ingeschakeld op de aanvragende en antwoordende router.
  
  Oplossing Schakel Lokale en externe routering (LAN en WAN) in op de aanvragende en de antwoordende router.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het inschakelen van LAN- en WAN-routering.
• Oorzaak De PPTP- of L2TP-poorten zijn niet ingeschakeld voor inkomende en uitgaande routeringsverbindingen via bellen op verzoek.
  
  Oplossing Schakel de PPTP- of L2TP-poorten in voor inkomende en uitgaande routeringsverbindingen via bellen op verzoek.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het inschakelen van routering via poorten.
• Oorzaak Alle PPTP- of L2TP-poorten op de aanvragende of antwoordende router worden al gebruikt door verbonden RAS-clients of door routers voor bellen op verzoek.
  
  Oplossing Controleer of er PPTP- of L2TP-poorten op de VPN-server vrij zijn door te klikken op Poorten in Routering en RAS. Wijzig indien nodig het aantal PPTP- of L2TP-poorten om meer gelijktijdige verbindingen mogelijk te maken.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van PPTP- of L2TP-poorten.
• Oorzaak De antwoordende router ondersteunt het tunnelingprotocol van de aanvragende router niet.
  
  Standaard gebruiken interfaces voor bellen op verzoek in Windows 2000 de serveroptie Automatisch, hetgeen betekent dat eerst wordt geprobeerd een L2TP/ IPSec VPN-verbinding tot stand te brengen en vervolgens wordt geprobeerd een PPTP VPN-verbinding tot stand te brengen. Als aanvragende routers het servertype Point-to-Point Tunneling Protocol (PPTP) of Layer-2 Tunneling Protocol (L2TP) gebruiken, controleer dan of het geselecteerde tunnelingprotocol wordt ondersteund door de antwoordende router.
  
  Op een computer met Windows 2000 Server en de service Routing and Remote Access is standaard een router voor bellen op verzoek met PPTP- en L2TP-ondersteuning beschikbaar, met vijf L2TP-poorten en vijf PPTP-poorten. Als u een router met uitsluitend PPTP-poorten wilt configureren, stelt u het aantal L2TP-poorten in op nul. Als u een router met uitsluitend L2TP-poorten wilt configureren, stelt u het aantal PPTP-poorten in op nul.
  
  Oplossing Controleer of het juiste aantal PPTP- of L2TP-poorten is ingesteld op de aanvragende router en de antwoordende router.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van PPTP- of L2TP-poorten.
• Oorzaak Er is geen gemeenschappelijke verificatiemethode beschikbaar voor de aanvragende router en de antwoordende router bij het ingestelde RAS-beleid.
  
  Oplossing Configureer de aanvragende router, de antwoordende router en het RAS-beleid zodanig dat er minimaal één gemeenschappelijke verificatiemethode beschikbaar is.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van de verificatie.
• Oorzaak Er is geen gemeenschappelijke coderingsmethode beschikbaar voor de aanvragende router en de antwoordende router bij het ingestelde RAS-beleid.
  
  Oplossing Configureer de aanvragende router, de antwoordende router en het RAS-beleid zodanig dat er minimaal één gemeenschappelijke coderingsmethode beschikbaar is.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van de codering.
• Oorzaak De VPN-verbinding beschikt niet over de juiste machtigingen via de inbeleigenschappen van de gebruikersaccount en het RAS-beleid.
  
  Oplossing Zorg dat de juiste machtigingen beschikbaar zijn voor de VPN-verbinding via de inbeleigenschappen van de gebruikersaccount en het RAS-beleid. De verbinding kan tot stand worden gebracht als de instellingen aan de volgende voorwaarden voldoen:
  
  
  • Overeenkomen met alle voorwaarden van tenminste één RAS-beleid.
  • Machtiging verlenen voor externe toegang via de gebruikersaccount (ingesteld op Toegang toestaan) of via de gebruikersaccount (ingesteld op Toegang beheren via RAS-beleid) en de RAS-machtiging van het overeenkomstige RAS-beleid (ingesteld op RAS-machtiging verlenen).
  • Overeenkomen met alle instellingen van het profiel.
  • Overeenkomen met alle instellingen van de inbeleigenschappen van de gebruikersaccount.
  Zie de on line Help van Windows 2000 voor informatie over het RAS-beleid en over het accepteren van een verbinding.
• Oorzaak De instellingen van het RAS-beleidsprofiel veroorzaken een conflict met de eigenschappen van de antwoordende router. De eigenschappen van het RAS-beleidsprofiel en de eigenschappen van de antwoordende router bevatten beide instellingen voor het volgende:
  
  
  • Multilink-verbindingen
  • BAP (Bandwidth Allocation Protocol)
  • Verificatieprotocollen
  Als de instellingen van het overeenkomende RAS-beleidsprofiel een conflict veroorzaken met de instellingen van de antwoordende router, wordt de verbinding geweigerd. Als in het overeenkomende RAS-beleidsprofiel bijvoorbeeld wordt aangegeven dat het verificatieprotocol EAP-TLS moet worden gebruikt terwijl EAP niet is ingeschakeld op de antwoordende router, wordt de verbinding geweigerd.
  
  Oplossing Zorg dat de instellingen van het RAS-beleidsprofiel geen conflict veroorzaken met de eigenschappen van de RAS-router.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het inschakelen van verificatieprotocollen en over het configureren van de verificatie.
• Oorzaak De referenties van de aanvragende router (gebruikersnaam, wachtwoord en domeinnaam) zijn onjuist en kunnen niet worden gevalideerd door de antwoordende router.
  
  Oplossing Zorg dat de referenties van de aanvragende router (gebruikersnaam, wachtwoord en domeinnaam) juist zijn en kunnen worden gevalideerd door de antwoordende router.
• Oorzaak Er zijn onvoldoende adressen beschikbaar in de statische IP-adresgroep.
  
  Oplossing Als de antwoordende router is geconfigureerd met een statische IP-adresgroep, zorg dan dat er voldoende adressen beschikbaar zijn in de groep. Als alle adressen in de statische groep zijn toegewezen aan verbonden RAS-clients of routers voor bellen op verzoek, kan de antwoordende router geen IP-adres meer toewijzen en wordt de verbinding geweigerd. Wijzig indien nodig de statische IP-adresgroep.
  
  Zie de on line Help van Windows 2000 voor meer informatie over TCP/IP en RAS en over het maken van een statische IP-adresgroep.
• Oorzaak De antwoordende router is geconfigureerd met een reeks IPX-netwerknummers die elders in uw IPX-netwerk worden gebruikt.
  
  Oplossing Configureer de antwoordende router met een reeks unieke IPX-netwerknummers die uitsluitend worden gebruikt door het IPX-netwerk.
  
  Zie de on line Help van Windows 2000 voor meer informatie over IPX en RAS.
• Oorzaak De verificatieprovider van de antwoordende router is niet juist geconfigureerd.
  
  Oplossing Controleer de configuratie van de verificatieprovider. Voor de verificatie van de referenties van de VPN-client kan de antwoordende router gebruikmaken van Windows 2000 of van RADIUS.
  
  Zie de on line Help van Windows 2000 voor meer informatie over verificatie- en accountingproviders en over het gebruik van RADIUS-verificatie.
• Oorzaak De antwoordende router heeft geen toegang tot Active Directory.
  
  Oplossing Controleer het volgende als de antwoordende router een lidserver is in een Windows 2000-domein in de gemengde modus of de native modus dat is geconfigureerd voor Windows 2000-verificatie:
  
  
  • De beveiligingsgroep RAS- en IAS-servers bestaat. Indien dit niet het geval is, maakt u de groep en stelt u het type in op Beveiliging en het bereik op Domeingebonden.
  • De beveiligingsgroep RAS- en IAS-servers heeft leesbevoegdheid voor het object RAS and IAS Servers Access Check.
  • De computeraccount van de antwoordende router is lid van de beveiligingsgroep RAS- en IAS-servers. Met de volgende opdracht kunt u de huidige registratie weergeven:
    netsh ras show registeredserver
    Met de volgende opdracht kunt u de server registreren in een specifiek domein:
    netsh ras add registeredserver
    Als u de antwoordende router toevoegt aan of verwijdert uit de beveiligingsgroep RAS- en IAS-servers, wordt deze wijziging niet meteen doorgevoerd (door de manier waarop Windows 2000 Active Directory-gegevens in het cachegeheugen plaatst). Start de computer met de antwoordende router opnieuw op als u de wijziging meteen wilt doorvoeren.
  • Bij een domein in de native modus is de antwoordende router lid geworden van het domein.
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een groep, het controleren van machtigingen voor de RAS- en IAS-beveiligingsgroep en over NetShell-opdrachten voor RAS.
• Oorzaak Een antwoordende router met Windows NT 4.0 en de service Routing and Remote Access (RRAS) kan verbindingsaanvragen niet valideren.
  
  Oplossing Als aanvragende routers inbellen bij een antwoordende router met Windows NT 4.0 en RRAS die lid is van een gemengd Windows 2000-domein, controleert u met de volgende opdracht of de groep Iedereen is toegevoegd aan de groep Pre-Windows 2000-compatibele toegang:
  net localgroup "Pre-Windows 2000-compatibele toegang"
  Als dit niet het geval is, typt u de volgende opdracht bij een opdrachtprompt op een domeincontroller en start u de domeincontroller opnieuw op:
  net localgroup "Pre-Windows 2000-compatibele toegang" Iedereen /add
  Zie de on line Help van Windows 2000 voor meer informatie over het gebruik van een Windows NT 4.0 RAS-server in een Windows 2000-domein.
• Oorzaak De antwoordende router kan niet communiceren met de geconfigureerde RADIUS-server.
  
  Oplossing Als de RADIUS-server alleen toegankelijk is via de internetinterface, voegt u een invoerfilter en een uitvoerfilter toe aan de internetinterface voor UDP-poort 1812 (op basis van RFC 2138, "Remote Authentication Dial-In User Service (RADIUS)"), of UDP-poort 1645 (voor oudere RADIUS-servers) voor de RADIUS-verificatie en voor UDP-poort 1813 (op basis van RFC 2139, "RADIUS-accounting") of UDP-poort 1646 (voor oudere RADIUS-servers) voor RADIUS-accounting.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een pakketfilter.
• Oorzaak Er kan geen verbinding met de antwoordende router worden gemaakt via internet met het hulpprogramma Ping.exe.
  
  Oplossing Door de PPTP- en L2TP/IPSec-pakketfiltering die is ingesteld voor de internetinterface van de antwoordende router, worden ICMP-pakketten (Internet Control Message Protocol) die door de opdracht Ping worden gebruikt, uitgefilterd. U kunt de antwoordende router laten reageren op ICMP-pakketten (ping) door een invoerfilter en een uitvoerfilter toe te voegen waarmee gegevensverkeer voor IP-protocol 1 (ICMP-verkeer) mogelijk wordt gemaakt.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een pakketfilter.

Het is niet mogelijk om gegevens te verzenden en te ontvangen.

• Oorzaak De juiste interface voor bellen op verzoek is niet toegevoegd voor het routeringsprotocol.
  
  Oplossing Voeg de juiste interface voor bellen op verzoek toe aan het routeringsprotocol.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een routeringsinterface.
• Oorzaak Aan weerszijden van de router-to-router VPN-verbinding bevinden zich geen routes die tweerichtingsverkeer ondersteunen.
  
  Oplossing In tegenstelling tot een RAS VPN-verbinding, maakt een router-to-router VPN-verbinding niet automatisch een standaardroute. U moet aan weerszijden van de router-to-router VPN-verbinding routes maken, zodat het verkeer van en naar de andere kant van de router-to-router VPN-verbinding kan worden gerouteerd.
  
  U kunt handmatig statische routes toevoegen aan de routeringstabel of u kunt statische routes toevoegen via routeringsprotocollen. Voor permanente VPN-verbindingen kunt u OSPF (Open Shortest Path First) of RIP (Routing Information Protocol) inschakelen via de VPN-verbinding. Voor VPN-verbindingen op verzoek kunt u automatisch routes bijwerken via een auto-statische RIP-update. Zie de on line Help van Windows 2000 voor meer informatie over het toevoegen van een IP-routeringsprotocol, en het uitvoeren van auto-statische updates.
• Oorzaak Door de meervoudige initiatie wordt de router-to-router VPN-verbinding door de antwoordende router beschouwd als een RAS-verbinding.
  
  Oplossing Als de gebruikersnaam in de referenties van de aanvragende router in Routering en RAS wordt weergegeven onder Inbelclients, beschouwt de antwoordende router de aanvragende router mogelijk als een RAS-client. Controleer of de gebruikersnaam in de referenties van de aanvragende router overeenkomt met de naam van de interface voor bellen op verzoek van de antwoordende router. Als de inkomende oproep van een router is, krijgt de poort waarop de oproep wordt ontvangen de status Actief en de overeenkomstige interface voor bellen op verzoek de status Verbonden.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het controleren van de poortstatus op de antwoordende router en het controleren van de status van de interface voor bellen op verzoek.
• Oorzaak Pakketfilters van de interfaces voor bellen op verzoek van de aanvragende en antwoordende router belemmeren de verkeersstroom.
  
  Oplossing Zorg dat er geen pakketfilters aanwezig zijn op de interfaces voor bellen op verzoek van de aanvragende en antwoordende router, die het verzenden en ontvangen van verkeer belemmeren. U kunt elke interface voor bellen op verzoek configureren met IP- en IPX-invoer en uitvoerfilters om het inkomende en uitgaande TCP/IP- en IPX-verkeer van de interface nauwkeurig te beheren.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het beheren van pakketfilters.
• Oorzaak Pakketfilters in het RAS-beleidsprofiel verhinderen de IP-verkeersstroom.
  
  Oplossing Zorg dat er geen TCP/IP-pakketfilters zijn ingesteld in de profieleigenschappen van het RAS-beleid van de VPN-server (of de RADIUS-server als Internet Authentication Service wordt gebruikt) die het verzenden en ontvangen van TCP/IP-verkeer belemmeren. U kunt een RAS-beleid gebruiken om pakketfilters voor TCP/IP-invoer en -uitvoer in te stellen, zodat u precies kunt bepalen welk TCP/IP-verkeer is toegestaan voor de VPN-verbinding. Zorg dat de TCP/IP-pakketfilters van het profiel geen belemmering vormen voor de verkeersstroom.
  
  Zie de on line Help van Windows 2000 voor meer informatie over het configureren van IP-opties.

Als u meer informatie wilt over het opzetten van een VPN-verbinding in Windows XP, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base: Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base: