Comment résoudre une connexion de client de réseau privé virtuel Microsoft L2tp/IPsec

Vous devez disposer d'une connexion Internet avant de pouvoir créer une connexion réseau privé virtuel (VPN) L2tp/IPsec. Si vous tentez d'établir une connexion VPN avant de vous disposez d'une connexion Internet, vous pouvez rencontrer un délai long (généralement 60 secondes), et puis vous pouvez recevoir un message d'erreur indiquant qu'il y a eu aucune réponse ou qu'un élément est problème avec le modem ou un autre périphérique de communication.

Lorsque vous tentez de résoudre connexions L2tp/IPsec, il est utile de comprendre comment une connexion L2tp/IPsec continue. Lorsque vous démarrez la connexion, un paquet L2TP initial est envoyé au serveur, demande une connexion. Ce paquet provoque la couche IPSec sur votre ordinateur pour négocier avec le serveur VPN pour configurer une session IPSec protégé (une association de sécurité). Selon un certain nombre de facteurs notamment la vitesse de liaison, les négociations IPSec peuvent prendre de quelques secondes à environ deux minutes. Lorsqu'une association de sécurité IPSec (SA) a été établie, la session L2TP démarre. Lorsqu'il démarre, vous recevez une invite votre nom et votre mot de passe (sauf si la connexion a été paramétré pour vous connecter automatiquement dans Windows Millennium Edition.) Si le serveur VPN accepte votre nom et votre mot de passe, l'installation de la session complète.

Une erreur de configuration courantes dans une connexion L2tp/IPsec est un certificat manquant ou mal configuré, une configuration incorrecte ou manquante clé pré-partagée. Si la couche IPSec ne peut pas établir une session chiffrée avec le serveur VPN, il échoue en silence. Par conséquent, la couche de L2TP ne voit pas une réponse à sa demande de connexion. Il y aura un délai (en général 60 secondes), et puis vous pouvez recevoir un message d'erreur indiquant qu'il y a eu aucune réponse du serveur ou qu'il ne était aucune réponse du périphérique modem ou les communications. Si vous recevez ce message d'erreur avant de recevoir le message de votre nom et votre mot de passe, IPSec n'a pas établi la session. Si qui se produit, examiner votre certificat ou la configuration de clé pré-partagée, ou envoyer le journal isakmp à votre administrateur réseau.

Un deuxième problème commun qui empêche une session IPSec réussie utilise un traducteur d'adresses réseau (NAT). Plusieurs petits réseaux utiliser un routeur avec la fonctionnalité NAT pour partager une adresse Internet unique entre tous les ordinateurs sur le réseau. La version d'origine de IPSec place une connexion qui traverse un NAT car il détecte adresse le NAT-mappage de falsification de paquet. Réseaux domestiques utilisent fréquemment un NAT. Ce bloque l'utilisation de L2tp/IPsec tant que le client et la passerelle VPN deux prennent en charge la nouvelle norme IPSec NAT-Traversal (NAT-T). Pour plus d'informations, reportez-vous à la section « parcours NAT ».

Si la connexion échoue après avoir reçu le message de votre nom et votre mot de passe, la session IPSec a été établie et il est probablement un problème avec votre nom et votre mot de passe. Autres paramètres du serveur il peuvent également empêchent une connexion L2TP réussie. Si tel est le cas, envoyer le journal de protocole PPP à votre administrateur.

NAT Traversal

Grâce à la prise en charge IPSec NAT-T dans le client VPN L2tp/IPsec de Microsoft, sessions IPSec peuvent passer par un NAT lorsque le serveur VPN prend également en charge IPSec NAT-t. IPSec NAT-T est pris en charge par Windows Server 2003. IPSec NAT-T est également pris en charge par Windows 2000 Server avec la mise à jour L2tp/IPsec NAT-T pour Windows XP et Windows 2000.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Pour les tiers serveurs VPN et les passerelles, contactez votre administrateur ou le fournisseur de passerelle VPN pour vérifier que IPSec NAT-T est pris en charge.

L'utilitaire de configuration fournit également une zone à cocher permettant de connexion IPSec. Si vous ne pouvez pas vous connecter et le personnel d'administrateur ou le support réseau ont demandé vous permet de les fournir un journal de connexion, vous pouvez activer IPSec journalisation ici. Lorsque vous effectuez cette opération, le journal (isakmp.log) est créé dans le dossier C:\Program Files\Microsoft IPSec VPN. Lorsque vous créez une connexion, également activer la journalisation pour le protocole PPP traitement L2TP. Pour cela :

1. Cliquez avec le bouton droit sur le dossier Accès réseau à distance , puis cliquez sur Propriétés .
2. Cliquez sur l'onglet Mise en réseau , puis cliquez sur Activer la case à cocher Enregistrer un fichier journal pour cette connexion .

Le fichier journal de protocole PPP est C:\Windows\Ppplog.txt. Il se trouve dans le dossier C:\Program Files\Microsoft IPSec VPN.

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :