Como solucionar problemas de uma conexão de cliente de rede virtual privada L2TP/IPSec da Microsoft
Este artigo descreve como solucionar problemas de conexão de VPN (rede virtual privada) L2TP/IPSec.
Aplicável ao: Windows 10 - todas as edições
Número original do KB: 325034
Resumo
Você deve ter uma conexão com a Internet antes de poder fazer uma conexão VPN L2TP/IPSec. Se você tentar fazer uma conexão VPN antes de ter uma conexão com a Internet, poderá ter um longo atraso, normalmente de 60 segundos, e poderá receber uma mensagem de erro informando que não houve resposta ou que algo está errado com o modem ou outro dispositivo de comunicação.
Ao solucionar problemas de conexões L2TP/IPSec, é útil entender como uma conexão L2TP/IPSec prossegue. Quando você inicia a conexão, um pacote L2TP inicial é enviado ao servidor, solicitando uma conexão. Esse pacote faz com que a camada IPSec no computador negocie com o servidor VPN para configurar uma sessão protegida por IPSec (uma associação de segurança). Dependendo de muitos fatores, incluindo a velocidade do vínculo, as negociações do IPSec podem levar de alguns segundos a cerca de dois minutos. Quando uma SA (associação de segurança) IPSec for estabelecida, a sessão L2TP será iniciada. Quando ele for iniciado, você receberá uma solicitação para seu nome e senha (a menos que a conexão tenha sido configurada para se conectar automaticamente no Windows Millennium Edition.) Se o servidor VPN aceitar seu nome e senha, a configuração da sessão será concluída.
Uma falha de configuração comum em uma conexão L2TP/IPSec é um certificado configurado incorretamente ou ausente ou uma chave pré-compartilhada não configurada ou ausente. Se a camada IPSec não puder estabelecer uma sessão criptografada com o servidor VPN, ela falhará silenciosamente. Como resultado, a camada L2TP não vê uma resposta à sua solicitação de conexão. Haverá um longo atraso, normalmente de 60 segundos, e você poderá receber uma mensagem de erro informando que não houve resposta do servidor ou que não houve resposta do modem ou do dispositivo de comunicação. Se você receber essa mensagem de erro antes de receber o prompt de seu nome e senha, o IPSec não estabeleceu a sessão. Se isso ocorrer, examine o certificado ou a configuração de chave pré-compartilhada ou envie o log de isakmp para o administrador de rede.
Um segundo problema comum que impede uma sessão IPSec bem-sucedida é usar uma NAT (Conversão de Endereços de Rede). Muitas redes pequenas usam um roteador com funcionalidade NAT para compartilhar um único endereço de Internet entre todos os computadores na rede. A versão original do IPSec descarta uma conexão que passa por uma NAT porque detecta o mapeamento de endereço da NAT como violação de pacote. As redes domésticas frequentemente usam uma NAT. Isso bloqueia o uso de L2TP/IPSec, a menos que o cliente e o gateway de VPN deem suporte ao padrão DESPsec NAT-Traversal (NAT-T) emergente. Para obter mais informações, consulte a seção "NAT Traversal".
Se a conexão falhar depois que você receber o prompt de seu nome e senha, a sessão IPSec foi estabelecida e provavelmente há algo errado com seu nome e senha. Outras configurações de servidor também podem estar impedindo uma conexão L2TP bem-sucedida. Nesse caso, envie o log do PPP para o administrador.
NAT Traversal
Com o suporte a IPSec NAT-T no cliente VPN Microsoft L2TP/IPSec, as sessões IPSec podem passar por uma NAT quando o servidor VPN também dá suporte a NAT-T IPSec. O IPSec NAT-T é compatível com Windows Server 2003. O IPSec NAT-T também é compatível com o Windows Server 2000 com a atualização NAT-T L2TP/IPSec para Windows XP e Windows 2000.
Para gateways e servidores VPN de terceiros, entre em contato com o administrador ou o fornecedor do gateway de VPN para verificar se há suporte para NAT-T IPSec.
Mais informações
O utilitário de configuração também fornece uma caixa de seleção que habilita o registro em log de IPSec. Se você não conseguir se conectar e o administrador de rede ou a equipe de suporte tiver solicitado que você forneça um log de conexão, você poderá habilitar o registro em log do IPSec aqui. Quando você faz isso, o log (Isakmp.log) é criado na pasta C:\Program Files\Microsoft IPSec VPN. Ao criar uma conexão, habilite também o registro em log para o processamento do PPP em L2TP. Para fazer isso:
- Clique com o botão direito do mouse na pasta Rede Dial-up e depois clique em Propriedades.
- Clique na guia Rede e clique para marcar a caixa de seleção Registrar um arquivo de log para esta conexão.
O arquivo de log do PPP é C:\Windows\Ppplog.txt. Ele está localizado na pasta C:\Program Files\Microsoft IPSec VPN.
Para obter mais informações, consulte Configurações de Criptografia Padrão para o Cliente de Rede Virtual Privada L2TP/IPSec da Microsoft.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários