Come risolvere i problemi di una connessione client VPN (rete privata virtuale) L2TP/IPSec
Questo articolo descrive come risolvere i problemi di connessione VPN (rete privata virtuale) L2TP/IPSec.
Si applica a: Windows 10 - tutte le edizioni
Numero originale della Knowledge Base: 325034
Riepilogo
Prima di poter stabilire una connessione VPN L2TP/IPSec, è necessario disporre di una connessione Internet. Se si tenta di stabilire una connessione VPN prima di aver stabilito una connessione Internet, è possibile che si verifichi un ritardo prolungato, in genere di 60 secondi, e quindi si potrebbe ricevere un messaggio di errore che indica che non è stata ricevuta alcuna risposta, oppure che si è verificato un problema con il modem o un altro dispositivo di comunicazione.
Quando si risolve il problema delle connessioni L2TP/IPSec, è utile comprenderne la procedura. Quando si avvia la connessione, un pacchetto L2TP iniziale viene inviato al server, richiedendo una connessione. Questo pacchetto fa sì che il livello IPSec nel computer effettui una negoziazione con il server VPN per configurare una sessione protetta IPSec (un'associazione di protezione). A seconda di molti fattori, tra cui la velocità del collegamento, le negoziazioni IPSec possono richiedere da pochi secondi fino a circa due minuti. Quando è stata stabilita un'associazione di protezione (SA) IPSec, la sessione L2TP viene avviata. All'avvio, viene visualizzata una richiesta per il nome e la password (a meno che la connessione non sia stata configurata per la connessione automatica in Windows Millennium Edition). Se il server VPN accetta il nome e la password, la configurazione della sessione viene completata.
Un errore di configurazione comune in una connessione L2TP/IPSec è un certificato o una chiave già condivisa non configurati correttamente oppure mancanti. Se il livello IPSec non è in grado di stabilire una sessione crittografata con il server VPN, l'operazione avrà esito negativo senza che vengano visualizzati avvisi. Di conseguenza, il livello L2TP non visualizza una risposta alla richiesta di connessione. Si verificherà un ritardo prolungato, in genere di 60 secondi, e quindi si potrebbe ricevere un messaggio di errore che indica che non c'è stata alcuna risposta dal server oppure non c'è stata alcuna risposta dal modem o dal dispositivo di comunicazione. Se viene visualizzato questo messaggio di errore prima di ricevere la richiesta di nome e password, IPSec non ha avviato la sessione. In questo caso, esaminare il certificato o la configurazione della chiave già condivisa, oppure inviare il log ISAKMP all'amministratore di rete.
Un secondo problema comune che impedisce la corretta esecuzione di una sessione IPSec è l'uso di un NAT (Network Address Translation). Molte reti di piccole dimensioni usano un router con funzionalità NAT per condividere un singolo indirizzo Internet tra tutti i computer della rete. La versione originale di IPSec elimina una connessione che passa attraverso un NAT perché rileva il mapping degli indirizzi NAT come manomissione dei pacchetti. Le reti domestiche spesso utilizzano un NAT. Questo blocca l'uso di L2TP/IPSec a meno che il client e il gateway VPN non supportino entrambi lo standard IPSec con attraversamento NAT (NAT-T) emergente. Per ulteriori informazioni, vedere la sezione "Attraversamento NAT".
Se, dopo aver ricevuto la richiesta di nome e password, la connessione non riesce, la sessione IPSec è stata avviata e probabilmente si è verificato un errore con il nome e la password. Anche altre impostazioni del server potrebbero impedire una connessione L2TP corretta. In questo caso, inviare il log PPP all'amministratore.
Attraversamento NAT
Con il supporto NAT-T IPSec nel client VPN Microsoft L2TP/IPSec, le sessioni IPSec possono passare attraverso un NAT quando il server VPN supporta anche IPSec NAT-T. IPSec NAT-T è supportato da Windows Server 2003. IPSec NAT-T è supportato anche da Windows server 2000 con l'aggiornamento NAT-T L2TP/IPSec per Windows XP e Windows 2000.
Per i server VPN e i gateway di terze parti, contattare l'amministratore o il fornitore del gateway VPN per verificare che IPSec NAT-T sia supportato.
Ulteriori informazioni
L'utilità di configurazione fornisce anche una casella di controllo che abilita la registrazione IPSec. Se non è possibile connettersi e l'amministratore di rete, oppure il personale di supporto, ha chiesto di fornire un log di connessione, è possibile abilitare la registrazione IPSec qui. In questo caso, il log (Isakmp.log) viene creato nella cartella C:\Program Files\Microsoft IPSec VPN. Quando si crea una connessione, abilitare anche la registrazione per l'elaborazione PPP in L2TP. A questo scopo:
- Fare clic con il pulsante destro del mouse sulla cartella Connessione remota e quindi su Proprietà.
- Fare clic sulla scheda Rete, quindi selezionare la casella di controllo Registra un file di log per questa connessione.
Il file di log PPP è C:\Windows\Ppplog.txt. Si trova nella cartella C:\Program Files\Microsoft IPSec VPN.
Per ulteriori informazioni, consultare Impostazioni di crittografia predefinite per il client di rete privata virtuale Microsoft L2TP/IPSec.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per