Résolution élémentaire des problèmes liés à L2TP/IPSec sous Windows XP

Traductions disponibles Traductions disponibles
Numéro d'article: 314831 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F314831
Pour vous procurer une version Microsoft Windows 2000 de cet article, reportez-vous à l'article 259335.
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article fournit des informations pour vous aider à résoudre les problèmes liés au protocole L2TP (Layer 2 Tunneling Protocol) et à la sécurité IPSec (Internet Protocol Security) sous Windows XP.

Plus d'informations

L2TP est une norme qui autorise la transmission du trafic PPP (Protocole Point à Point) entre différents réseaux (décrits dans la RFC n° 2661). Le protocole L2TP s'associe à IPSec pour assurer l'encapsulation et la sécurité de différents paquets de protocole, tels que IP (Internet Protocol) et IPX (Internetwork Packet eXchange), via tout réseau IP.

Le protocole L2TP encapsule les paquets d'origine dans une trame PPP (en effectuant une compression, dans la mesure du possible) et dans un paquet de type UDP (User Datagram Protocol) affecté au port 1701. Le paquet UDP étant au format IP, le protocole L2TP utilise automatiquement IPSec pour assurer la sécurité du tunnel, conformément aux paramètres de sécurité dans la configuration utilisateur du tunnel L2TP. Le protocole IKE (Internet Key Exchange) IPSec négocie la sécurité du tunnel L2TP ; l'authentification basée sur les certificats est utilisée par défaut. Ce processus d'authentification utilise les certificats d'ordinateur (et non les certificats d'utilisateur) pour vérifier l'approbation mutuelle des ordinateurs sources et des ordinateurs de destination. Si la sécurité du transfert IPSec est établie avec succès, le protocole L2TP négocie le tunnel (y compris les options de compression et d'authentification utilisateur) et effectue un contrôle d'accès reposant sur l'identité de l'utilisateur.

La structure du paquet L2TP/IPSec ressemble à l'exemple suivant. La charge utile PPP contient le datagramme IP d'origine et le texte en italique représente les données cryptées en utilisant IPSec.
|IP header|IPSec ESP header|UDP header|L2TP header|PPP header|PPP Payload|IPSec ESP trailer|IPSec Auth trailer|
Windows négocie le protocole MPPE (Microsoft Point-to-Point Encryption), qui peut servir à sécuriser la charge utile PPP lorsque la sécurité EAP-TLS (Extensible Authentication Protocol Transport Layer Security) ou le protocole MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol) est utilisé, lorsque l'homologue L2TP (client ou serveur) le demande.

Le protocole MPPE utilise le cryptage par flux RSA (Rivest-Shamir-Adleman) RC4 et des clés secrètes à 40 bits, 56 bits ou 128 bits. Les clés MPPE sont générées à partir du processus d'authentification utilisateur MS-CHAP et EAP-TLS. Vous pouvez configurer le serveur d'accès à distance de sorte à exiger le cryptage des données. Si le client d'accès à distance ne peut pas effectuer le cryptage requis, la tentative de connexion est rejetée et le message d'erreur suivant (n° 742) s'affiche :
L'ordinateur distant ne prend pas en charge le type de chiffrement des données nécessaire.
IPSEC est négociée avant que le protocole PPP ne démarre, tandis que le protocole MPPE est négocié après. PPP s'exécute sur L2TP à l'aide de IPSec. Au cours de la phase d'authentification de PPP, un nom d'utilisateur est envoyé au composant du serveur d'accès à distance (RAS, Remote Access Server) du serveur de réseau privé virtuel (VPN, Virtual Private Network) à l'aide du protocole d'authentification configuré (MS-CHAP par exemple). Le serveur RAS fait ensuite correspondre le nom d'utilisateur et d'autres propriétés d'appel à une stratégie d'accès à distance. Chaque stratégie possède un profil. Le serveur RAS compare les conditions de l'appel entrant au profil pour déterminer s'il faut accepter la demande de connexion.

Considérations

  • Si le client VPN se trouve derrière un périphérique réseau effectuant une traduction d'adresses réseau (NAT, Network Address Translation), la session L2TP échoue, car ceci endommage les paquets ESP (Encapsulating Security Payload) IPSec cryptés. Si le client VPN est sur le même ordinateur que la traduction d'adresses réseau et le partage de connexion Internet Windows, celui-ci doit pouvoir établir une session L2TP dans la mesure où la traduction d'adresses réseau n'effectue pas de traduction de ports ni d'adresses IP sur des paquets qui proviennent de son propre mode.
  • Vous avez besoin d'un certificat d'ordinateur avec une clé privée, que vous pouvez trouver dans le magasin de certificats personnels de l'ordinateur local. Vous pouvez vérifier cela en démarrant la console MMC (Microsoft Management Console), MMC.exe, et en ajoutant le composant logiciel enfichable Certificats pour l'ordinateur local L'utilisateur doit disposer des droits de l'administrateur local.

    Si aucun certificat d'ordinateur n'est détecté, le protocole L2TP émet un avertissement indiquant que vous ne disposez d'aucun certificat ; il ne sait cependant pas si le certificat est associé à une clé privée correctement installée pour le certificat existant. Le protocole IKE détermine cela au cours de cette négociation. Démarrez le composant logiciel enfichable Certificats de l'ordinateur local, double-cliquez sur Certificat, puis vérifiez que Général indique « Vous avez une clé privée qui correspond à ce certificat ». Vérifiez également que le chemin de certificat est complet, et que le certificat est valide.

    Le client doit avoir un certificat d'ordinateur dont l'autorité de certificat racine est identique à celle du certificat sur le certificat de la passerelle. La raison de l'échec du certificat est consignée par IKE dans l'entrée des événements du journal de sécurité. Les deux parties doivent être capables de réussir la validation du certificat. Si l'authentification du certificat réussit, une entrée dans le journal de sécurité indique qu'un événement de connexion (ouverture/fermeture de session) d'une association de sécurité (SA) en mode principal IPSec a réussi.
  • Échec IKE à négocier : Vous pouvez vérifier si IPSec a réussi en démarrant la console MMC (MMC.exe), et en ajoutant le Moniteur de sécurité IP (en tant qu'administrateur local). Définissez les options d'actualisation à une seconde d'intervalle. Si l'association SA IPSec apparaît, cela signifie que IPSec a réussi. Vous pouvez alors conclure que le protocole L2TP est à l'origine du problème. Une fois que les outils de support de Windows XP sont installés, utilisez la commande netdiag /test:ipsec /v /debug pour afficher les détails de la stratégie IPSec. (Vous ne pouvez pas consulter toute la stratégie si un administrateur de domaine a défini la stratégie sur votre ordinateur local.)

    Notez également les problèmes suivants :
    • Délai d'attente IKE : le délai d'attente IKE peut expirer au cours de la demande de négociation initiale si les routeurs en amont du serveur VPN n'autorisent pas le trafic du port UDP 500. IKE peut également connaître un délai d'attente si le serveur VPN n'a pas de stratégie IPSec appropriée configurée, ce qui signifie généralement qu'aucun port L2TP n'est activé sur le serveur RRAS ou qu'un paramètre manuel de la stratégie IPSec n'est pas configuré correctement. Lorsque le délai d'attente IKE expire, le journal d'audit indique qu'un pair n'a pas répondu et qu'un traçage de capture réseau indique que des paquets UDP ISAKMP s'initialisent uniquement depuis votre client. S'il est spécialement configuré pour le protocole L2TP, le client VPN répond en émettant le message d'erreur suivant :
      Le délai de la négociation de sécurité a été dépassé.
      S'il est configuré sur Automatique, il tente d'exécuter de nouveau la tâche à l'aide du protocole suivant de la liste, à savoir PPTP.
    • Échec IKE : l'échec de la négociation de IKE et les raisons de cet échec sont enregistrés dans le journal de sécurité lorsque vous activez l'option Paramètres de sécurité, Audits des échecs d'ouverture/de fermeture de session. IKE peut échouer lorsque les informations d'identification du certificat ne fonctionnent pas ou lorsqu'il existe un problème de configuration de la stratégie IPSec si cette dernière est définie manuellement.

      La réussite de la négociation IKE est consignée dans le journal d'audit. Pour que la totalité de la négociation de sécurité IPSec réussisse, il vous faut à la fois une connexion SA en mode principal et une connexion SA en mode rapide pour le port UDP 1701.
  • Si l'un des points suivants se vérifie, le problème n'est pas dû à IPSec :
    • Le journal d'audit indique que la connexion SA en mode principal et la connexion SA en mode rapide ont réussi.
    • Le traçage de la capture réseau montre qu'un trafic ESP provient du client ou du serveur.
    • Ipsecmon.exe indique une association de sécurité IPSec.
    Il y a toujours l'établissement de deux associations de sécurité IPSec : une pour chaque direction, possédant chacun son propre index SPI (Security Parameter Index) ; Ipsecmon.exe n'indique toutefois que l'association de sécurité sortante.
  • ESP bloqué : lorsque le traducteur d'adresses réseau (NAT) se trouve en amont du client ou que les routeurs se trouvent en amont du réseau privé virtuel, le serveur risque de ne pas autoriser la transmission du protocole 50 (ESP). Le trafic ESP sortant avec le numéro SPI s'affiche, mais les paquets ESP entrants provenant de la passerelle, qui portent un numéro SPI différent, n'apparaissent pas.
  • ESP modifié : si le traducteur d'adresses réseau, ou éventuellement un autre n?ud de réseau ou un commutateur défaillant, modifie ou endommage des paquets à n'importe quel point du chemin, les paquets sont perdus par le pilote IPSec et un événement 4285, « Échec de l'authentification du hachage » s'affiche dans le journal système du système de destination. Les paquets peuvent également être endommagés par une carte réseau ayant des fonctions de déchargement IPSec. Pour déterminer si une interface possède cette fonction, utilisez l'outil de support netsh. Tapez la commande suivante :
    netsh int ip show offload
  • Si vous pensez que le problème est dû à la fonction de déchargement IPSec d'une carte réseau, démarrez une capture Moniteur réseau et utilisez Ipsecmon.exe pour analyser chaque tentative de connexion. Étudiez le compteur « Octets confidentiels reçus » dans Ipsecmon pour déterminer si des paquets sont perdus à la réception. Vous pouvez également définir la valeur de Registre DWORD DWORD HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload sur 0. Si la connexion réussit à ce stade, le problème est lié au déchargement. Une autre solution consiste à désactiver la stratégie IPSec automatique.
  • Si l'agent de stratégie IPSec a été arrêté par l'intermédiaire du composant logiciel enfichable Services ou de la commande net stop policyagent, la configuration de la stratégie automatique L2TP est perdue. Pour les clients VPN, la stratégie est automatiquement transmise lorsque le connectoïde client est démarré. Vérifiez que le service d'agent de stratégie IPSec a démarré et s'exécute avant de lancer la connexion client. Après avoir cliqué sur Se connecter et que la tentative de connexion est en cours, utilisez la commande netdiag /test:ipsec /v /debug pour consulter les statistiques IPSec et les filtres actifs. Notez que vous ne pouvez pas utiliser l'option /debug si vous ne possédez pas d'autorisations administratives sur le domaine.
Pour plus d'informations sur les VPN, reportez-vous à l'article « Microsoft Privacy Protected Network Access: Virtual Private Networking and Intranet Security » (Accès réseau confidentiel Microsoft : réseaux privés virtuels et sécurité des intranets) à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/nwpriv.mspx
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
314067 Procédures pour résoudre les problèmes de connectivité TCP/IP dans Windows XP
257225 Résolution des problèmes de base liés à IPSec dans Microsoft Windows 2000 Server

Propriétés

Numéro d'article: 314831 - Dernière mise à jour: lundi 23 avril 2007 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
Mots-clés : 
kbhowto kbinfo kbtshoot kbipsec kbtunneling KB314831
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com