Jak rozwiązać problemy z połączeniem klienta wirtualnej sieci prywatnej L2TP/IPSec firmy Microsoft
W tym artykule opisano sposób rozwiązywania problemów z połączeniem wirtualnej sieci prywatnej (VPN) L2TP/IPSec.
Dotyczy systemu: Windows 10 (wszystkie wersje)
Oryginalny numer KB: 325034
Podsumowanie
Aby można było nawiązać połączenie sieci wirtualnej L2TP/IPSec, musisz mieć połączenie z Internetem. Jeśli spróbujesz nawiązać połączenie sieci wirtualnej VPN przed nawiązaniem połączenia z Internetem, może wystąpić duże opóźnienie, zazwyczaj 60 sekund, a następnie może zostać wyświetlony komunikat o błędzie informujący, że nie było odpowiedzi lub coś jest nie tak z modemem lub innym urządzeniem komunikacyjnym.
Podczas rozwiązywania problemów z połączeniami L2TP/IPSec warto zapoznać się z tym, jak przebiega połączenie L2TP/IPSec. Po uruchomieniu połączenia na serwer jest wysyłany początkowy pakiet L2TP z żądaniem połączenia. Ten pakiet powoduje, że warstwa IPSec na komputerze negocjuje z serwerem sieci VPN skonfigurowanie sesji chronionej protokołu IPSec (skojarzenia zabezpieczeń). W zależności od wielu czynników, w tym szybkości łącza, negocjacje protokołu IPSec mogą potrwać od kilku sekund do około dwóch minut. Po ustanowieniu skojarzenia zabezpieczeń protokołu IPSec (SA) rozpoczyna się sesja L2TP. Po jego uruchomieniu zostanie wyświetlony monit o podanie nazwy i hasła (chyba że połączenie zostało skonfigurowane do automatycznego nawiązywania połączenia w systemie Windows Millennium Edition). Jeśli serwer sieci VPN zaakceptuje Twoją nazwę i hasło, zostanie ukończona konfiguracja sesji.
Typowym błędem konfiguracji w połączeniu L2TP/IPSec jest nieprawidłowo skonfigurowany lub brakujący certyfikat albo nieprawidłowo skonfigurowany lub brakujący klucz wstępny. Jeśli warstwa IPSec nie może ustanowić zaszyfrowanej sesji z serwerem sieci VPN, nie powiedzie się w trybie dyskretnym. W związku z tym warstwa L2TP nie widzi odpowiedzi na żądanie połączenia. Będzie duże opóźnienie, zazwyczaj 60 sekund, a następnie może zostać wyświetlony komunikat o błędzie informujący, że nie było odpowiedzi z serwera lub nie było odpowiedzi z modemu lub urządzenia komunikacyjnego. Jeśli ten komunikat o błędzie zostanie wyświetlony przed otrzymaniem monitu o podanie nazwy i hasła, protokół IPSec nie ustanowił swojej sesji. W takim przypadku sprawdź certyfikat lub konfigurację klucza wstępnego, lub wyślij dziennik isakmp do administratora sieci.
Drugim typowym problemem, który uniemożliwia pomyślną sesję protokołu IPSec, jest użycie translatora adresów sieciowych (NAT). Wiele małych sieci używa routera z funkcją NAT do udostępniania pojedynczego adresu internetowego między wszystkimi komputerami w sieci. Oryginalna wersja protokołu IPSec zrywa połączenie, które przechodzi przez translator adresów sieciowych, ponieważ wykrywa mapowanie adresów NAT jako manipulowanie pakietami. Sieci domowe często używają translatora adresów sieciowych NAT. Blokuje to używanie protokołu L2TP/IPSec, chyba że klient i brama sieci VPN obsługują nowy standard IPSec NAT-Traversal (NAT-T). Aby uzyskać więcej informacji, zobacz rozdział „Przechodzenie translacji NAT”.
Jeśli połączenie zakończy się niepowodzeniem po otrzymaniu monitu o podanie nazwy i hasła, sesja protokołu IPSec została ustanowiona i prawdopodobnie wystąpił problem z Twoją nazwą i hasłem. Inne ustawienia serwera mogą również uniemożliwiać pomyślne połączenie L2TP. W takim przypadku wyślij dziennik PPP do administratora.
Przechodzenie translacji NAT
Dzięki obsłudze protokołu IPSec NAT-T w kliencie sieci VPN Microsoft L2TP/IPSec sesje protokołu IPSec mogą przechodzić przez translator adresów sieciowych NAT, gdy serwer sieci VPN obsługuje również protokół IPSec NAT-T. Protokół IPSec NAT-T jest obsługiwany przez system Windows Server 2003. Protokół IPSec NAT-T jest również obsługiwany przez system Windows 2000 Server z aktualizacją L2TP/IPSec NAT-T dla systemów Windows XP i Windows 2000.
W przypadku serwerów i bram sieci VPN innych firm skontaktuj się z administratorem lub dostawcą bramy sieci VPN, aby sprawdzić, czy protokół IPSec NAT-T jest obsługiwany.
Więcej informacji
Narzędzie konfiguracji udostępnia również pole wyboru, które umożliwia rejestrowanie połączeń protokołu IPSec. Jeśli nie możesz nawiązać połączenia, a administrator sieci lub personel pomocy technicznej poprosił Cię o przesłanie dziennika połączenia, możesz włączyć rejestrowanie połączeń protokołu IPSec tutaj. Gdy to zrobisz, dziennik (Isakmp.log) zostanie utworzony w folderze C:\Program Files\Microsoft IPSec VPN. Podczas tworzenia połączenia włącz również rejestrowanie dla przetwarzania protokołu PPP dla połączenia L2TP. W tym celu:
- Prawym przyciskiem myszy kliknij folder Dial-up Networking, a następnie kliknij polecenie Właściwości.
- Kliknij kartę Sieć, a następnie kliknij pole wyboru Zapisz plik dziennika dla tego połączenia, aby je zaznaczyć.
Plik dziennika protokołu PPP to C:\Windows\Ppplog.txt. Znajduje się w folderze C:\Program Files\Microsoft IPSec VPN.
Aby uzyskać więcej informacji, zobacz artykuł Domyślne ustawienia szyfrowania dla klienta wirtualnej sieci prywatnej L2TP/IPSec firmy Microsoft.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla