Устранение неполадок подключения клиента виртуальной частной сети Microsoft L2TP/IPSec
В этой статье описывается устранение неполадок подключения виртуальной частной сети (VPN) L2TP/IPSec.
Применяется к: Windows 10 — все выпуски
Оригинальный номер базы знаний: 325034
Аннотация
Прежде чем установить VPN-подключение L2TP/IPSec, необходимо установить подключение к Интернету. При попытке установить VPN-подключение до подключения к Интернету может возникнуть длинная задержка (обычно 60 секунд). После этого может отобразиться сообщение об ошибке с информацией о том, что ответ не получен или возникла проблема с модемом или другим устройством связи.
При устранении неполадок подключения L2TP/IPSec полезно узнать, как происходит подключение L2TP/IPSec. При запуске подключения исходный пакет L2TP отправляется на сервер с запросом подключения. Использование этого пакета приводит к тому, что уровень IPSec на компьютере выполняет согласование с VPN-сервером настройку сеанса, защищенного IPSec (сопоставление безопасности). В зависимости от многих факторов, включая скорость соединения, согласование IPSec может занять от нескольких секунд до примерно двух минут. После установки сопоставления безопасности (SA) IPSec запускается сеанс L2TP. При запуске отобразится запрос на ввод имени пользователя и пароля (если подключение не настроено для автоматического подключения в Windows Millennium Edition). Если VPN-сервер принимает ваше имя и пароль, настройка сеанса завершается.
Распространенным сбоем конфигурации в подключении L2TP/IPSec является неправильно настроенный или отсутствующий сертификат или неправильно настроенный или отсутствующий предварительный ключ. Если на уровне IPSec не удается установить зашифрованный сеанс с VPN-сервером, он завершится сбоем с сообщением об ошибке. В результате уровень L2TP не видит ответа на свой запрос на подключение. Задержка будет длительной, обычно 60 секунд, после чего может отобразиться сообщение об ошибке с информацией о том, что ответ не получен от сервера или от модема или устройства связи. Если это сообщение об ошибке отображается перед получением запроса на ввод имени пользователя и пароля, IPSec не удалось установить сеанс. В этом случае проверьте конфигурацию сертификата или предварительного ключа или отправьте журнал isakmp администратору сети.
Второй распространенной проблемой, которая препятствует успешному сеансу IPSec, является использование преобразования сетевых адресов (NAT). Многие небольшие сети используют маршрутизатор с функциями NAT, чтобы совместно использовать один адрес в Интернете для всех компьютеров в сети. Исходная версия IPSec удаляет подключение, которое проходит через NAT, так как определяет сопоставление адресов NAT как незаконное изменение пакетов. Домашние сети часто используют NAT. Это приводит к блокировке использования L2TP/IPSec, если клиент и VPN-шлюз не поддерживают новый стандарт обхода IPSec NAT (NAT-T). Дополнительные сведения см. в разделе «Обход NAT».
Если после получения запроса на ввод имени пользователя и пароля подключение завершится сбоем, будет установлен сеанс IPSec и, вероятно, указаны неверное имя пользователя и пароль. Другие параметры сервера также могут препятствовать успешному подключению L2TP. В этом случае отправьте журнал PPP администратору.
Обход NAT
Благодаря поддержке IPSec NAT-T в Microsoft L2TP/IPSec VPN-клиенте сеансы IPSec могут проходить через NAT, когда VPN-сервер также поддерживает IPSec NAT-T. IPSec NAT-T поддерживается Windows Server 2003. IPSec NAT-T также поддерживается Windows 2000 Server с обновлением L2TP/IPSec NAT-T для Windows XP и Windows 2000.
При использовании сторонних VPN-серверов и шлюзов обратитесь к администратору или поставщику VPN-шлюза, чтобы убедиться, что IPSec NAT-T поддерживается.
Дополнительная информация
Программа конфигурации также предоставляет возможность установить флажок, чтобы включить ведение журнала IPSec. Если вам не удается установить подключение и администратор сети или сотрудник службы поддержки попросил вас предоставить журнал подключений, вы можете включить ведение журнала IPSec здесь. При этом в папке C:\Program Files\Microsoft IPSec VPN создается журнал (Isakmp.log). При создании подключения также включите ведение журнала для обработки PPP в L2TP. Для этого:
- Щелкните правой кнопкой мыши папку Удаленный доступ к сети и выберите пункт Свойства.
- Перейдите на вкладку Сеть и установите флажок Записать файл журнала для этого подключения.
Файл журнала PPP является C:\Windows\Ppplog.txt. Он расположен в папке C:\Program Files\Microsoft IPSec VPN.
Дополнительные сведения см. в статье Параметры шифрования по умолчанию для клиента виртуальной частной сети Microsoft L2TP/IPSec.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по