Problembehandlung bei einer Microsoft L2TP/IPSec-Clientverbindung für ein virtuelles privates Netzwerk
In diesem Artikel wird beschrieben, wie L2TP-/IPSec-VPN-Verbindungsprobleme (Virtual Private Network) behoben werden.
Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 325034
Zusammenfassung
Sie müssen über eine Internetverbindung verfügen, bevor Sie eine L2TP/IPSec-VPN-Verbindung herstellen können. Wenn Sie versuchen, eine VPN-Verbindung herzustellen, bevor Sie über eine Internetverbindung verfügen, treten möglicherweise lange Verzögerungen auf, in der Regel 60 Sekunden, und dann wird möglicherweise eine Fehlermeldung angezeigt, die besagt, dass keine Antwort gegeben wurde oder etwas mit dem Modem oder einem anderen Kommunikationsgerät nicht stimmt.
Bei der Problembehandlung von L2TP-/IPSec-Verbindungen ist es hilfreich, zu verstehen, wie eine L2TP/IPSec-Verbindung verläuft. Wenn Sie die Verbindung starten, wird ein anfängliches L2TP-Paket an den Server gesendet und eine Verbindung angefordert. Dieses Paket bewirkt, dass die IPSec-Ebene auf Ihrem Computer mit dem VPN-Server verhandelt, um eine IPSec-geschützte Sitzung (eine Sicherheitszuordnung) einzurichten. Abhängig von vielen Faktoren, einschließlich der Verbindungsgeschwindigkeit, können die IPSec-Verhandlungen zwischen wenigen Sekunden und etwa zwei Minuten dauern. Wenn eine IPSec-Sicherheitszuordnung (SA) eingerichtet wurde, wird die L2TP-Sitzung gestartet. Wenn sie gestartet wird, erhalten Sie eine Eingabeaufforderung für Ihren Namen und Ihr Kennwort (es sei denn, die Verbindung wurde eingerichtet, um in Windows Millennium Edition automatisch eine Verbindung herzustellen).) Wenn der VPN-Server Ihren Namen und Ihr Kennwort akzeptiert, wird die Sitzungseinrichtung abgeschlossen.
Ein häufiger Konfigurationsfehler in einer L2TP/IPSec-Verbindung ist ein falsch konfiguriertes oder fehlendes Zertifikat oder ein falsch konfigurierter oder fehlender vorab freigegebener Schlüssel. Wenn die IPSec-Ebene keine verschlüsselte Sitzung mit dem VPN-Server einrichten kann, scheitert diese, ohne dass es eine Meldung gibt. Daher wird der L2TP-Ebene keine Antwort auf ihre Verbindungsanforderung angezeigt. Es gibt eine lange Verzögerung, in der Regel 60 Sekunden, und dann erhalten Sie möglicherweise eine Fehlermeldung, die besagt, dass keine Antwort vom Server oder keine Antwort vom Modem oder Kommunikationsgerät erhalten wurde. Wenn Sie diese Fehlermeldung erhalten, bevor Sie die Aufforderung zu Ihrem Namen und Kennwort bekommen, hat IPSec die Sitzung nicht einrichten können. Überprüfen Sie in diesem Fall die Konfiguration Ihres Zertifikats oder vorab freigegebenen Schlüssels, oder senden Sie das isakmp-Protokoll an Ihren Netzwerkadministrator.
Ein zweites häufiges Problem, das eine erfolgreiche IPSec-Sitzung verhindert, ist die Verwendung einer Übersetzung für die Netzwerkadresse (Network Address Translation, NAT). Viele kleine Netzwerke verwenden einen Router mit NAT-Funktionalität, um eine einzelne Internetadresse für alle Computer im Netzwerk freizugeben. Die ursprüngliche Version von IPSec legt eine Verbindung ab, die eine NAT durchläuft, da die Adresszuordnung der NAT als Paketmanipulation erkannt wird. Heimnetzwerke verwenden häufig eine NAT. Dadurch wird die Verwendung von L2TP/IPSec blockiert, es sei denn, der Client und das VPN-Gateway unterstützen beide den neuen NAT-T-Standard (IPSec NAT-Traversal). Weitere Informationen finden Sie im Abschnitt „NAT Traversal“
Wenn die Verbindung fehlschlägt, nachdem Sie die Aufforderung zu Ihrem Namen und Kennwort erhalten haben, wurde die IPSec-Sitzung eingerichtet, und wahrscheinlich stimmt etwas mit Ihrem Namen und Kennwort nicht. Andere Servereinstellungen verhindern möglicherweise auch eine erfolgreiche L2TP-Verbindung. Senden Sie in diesem Fall das PPP-Protokoll an Ihren Administrator.
NAT-Traversal
Mit der IPSec NAT-T-Unterstützung im Microsoft L2TP/IPSec-VPN-Client können IPSec-Sitzungen eine NAT durchlaufen, vorausgesetzt, der VPN-Server unterstützt ebenfalls IPSec NAT-T. IPSec NAT-T wird von Windows Server 2003 unterstützt. IPSec NAT-T wird auch von Windows 2000 Server mit dem L2TP/IPSec NAT-T-Update für Windows XP und Windows 2000 unterstützt.
Wenden Sie sich bei VPN-Servern und Gateways von Drittanbietern an Ihren Administrator oder VPN-Gatewayanbieter, um zu überprüfen, ob IPSec NAT-T unterstützt wird.
Weitere Informationen
Das Konfigurationsdienstprogramm stellt auch ein Kontrollkästchen bereit, das die IPSec-Protokollierung ermöglicht. Wenn Sie keine Verbindung herstellen können und Ihr Netzwerkadministrator oder Supportmitarbeiter Sie gebeten hat, ihnen ein Verbindungsprotokoll zur Verfügung zu stellen, können Sie die IPSec-Protokollierung hier aktivieren. Wenn Sie dies tun, wird das Protokoll (Isakmp.log) im C:\Program Files\Microsoft IPSec VPN Ordner erstellt. Wenn Sie eine Verbindung erstellen, aktivieren Sie auch die Protokollierung für die PPP-Verarbeitung in L2TP. Gehen Sie hierzu folgendermaßen vor:
- Klicken Sie mit der rechten Maustaste auf den Ordner Anwahl Netzwerk, und klicken Sie dann auf Eigenschaften.
- Klicken Sie auf die Registerkarte Netzwerk und dann auf das Kontrollkästchen Protokolldatei für diese Verbindung aufzeichnen.
Die PPP-Protokolldatei lautet C:\Windows\Ppplog.txt. Es befindet sich im Ordner C:\Program Files\Microsoft IPSec VPN.
Weitere Informationen finden Sie unter Standardeinstellungen Verschlüsselung für den Virtuellen privaten Netzwerkclient von Microsoft L2TP/IPSec.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für