Problemen met een Microsoft L2TP/IPSec virtual private network-clientverbinding oplossen
In dit artikel wordt beschreven hoe u verbindingsproblemen met L2TP/IPSec virtual private network (VPN) oplost.
Van toepassing op: Windows 10, alle edities
Origineel KB-nummer: 325034
Samenvatting
U moet een internetverbinding hebben voordat u een L2TP/IPSec VPN-verbinding kunt maken. Als u een VPN-verbinding probeert te maken voordat u een internetverbinding hebt, kan het zijn dat u een lange vertraging ervaart, meestal 60 seconden, en dan krijgt u mogelijk een foutbericht dat er geen reactie is of dat er iets mis is met de modem of een ander apparaat voor de communicatie.
Bij het oplossen van problemen met L2TP/IPSec-verbindingen is het handig om te begrijpen hoe een L2TP/IPSec-verbinding verloopt. Wanneer u de verbinding start, wordt een eerste L2TP-pakket naar de server verzonden en wordt om een verbinding gevraagd. Dit pakket zorgt ervoor dat de IPSec-laag op uw computer onderhandelt met de VPN-server om een IPSec-beveiligde sessie (een beveiligingskoppeling) op te zetten. Afhankelijk van veel factoren, waaronder de verbindingssnelheid, kunnen de IPSec-onderhandelingen enkele seconden tot ongeveer twee minuten duren. Wanneer er een IPSec-beveiligingskoppeling (SA) tot stand is gebracht, wordt de L2TP-sessie gestart. Wanneer het begint, wordt u om uw naam en wachtwoord gevraagd (tenzij de verbinding is ingesteld om automatisch verbinding te maken in Windows Millennium Edition). Als de VPN-server uw naam en wachtwoord accepteert, is het instellen van de sessie voltooid.
Een veelvoorkomende configuratiefout in een L2TP/IPSec-verbinding is een verkeerd geconfigureerd of ontbrekend certificaat, of een verkeerd geconfigureerde of ontbrekende vooraf gedeelde sleutel. Als de IPSec-laag geen versleutelde sessie met de VPN-server tot stand kan brengen, mislukt deze op de achtergrond. Als gevolg hiervan ziet de L2TP-laag geen reactie op zijn verbindingsverzoek. Er zal een lange vertraging zijn, meestal 60 seconden, en dan kunt u een foutbericht krijgen dat er geen reactie was van de server of dat er geen reactie was van de modem of het apparaat voor de communicatie. Als u dit foutbericht ontvangt voordat u de prompt voor uw naam en wachtwoord ontvangt, heeft IPSec de sessie niet tot stand gebracht. Als dat het geval is, controleert u de configuratie van uw certificaat of vooraf gedeelde sleutel of verzendt u het isakmp-logboek naar uw netwerkbeheerder.
Een tweede veelvoorkomend probleem dat een geslaagde IPSec-sessie verhindert, is het gebruik van een Network Address Translation (NAT). Veel kleine netwerken gebruiken een router met NAT-functionaliteit om één internetadres te delen tussen alle computers in het netwerk. De originele versie van IPSec verbreekt een verbinding die via een NAT gaat omdat het de adrestoewijzing van de NAT detecteert als manipulatie van pakketten. Thuisnetwerken maken vaak gebruik van een NAT. Dit blokkeert het gebruik van L2TP/IPSec, tenzij de client en de VPN-gateway beide de opkomende IPSec NAT-Traversal (NAT-T)-standaard ondersteunen. Raadpleeg de sectie 'NAT Traversal' voor meer informatie.
Als de verbinding mislukt nadat u om uw naam en wachtwoord bent gevraagd, is de IPSec-sessie tot stand gebracht en is er waarschijnlijk iets mis met uw naam en wachtwoord. Andere serverinstellingen verhinderen mogelijk ook een geslaagde L2TP-verbinding. In dit geval stuurt u het PPP-logboek naar uw beheerder.
NAT Traversal
Met de IPSec NAT-T-ondersteuning in de Microsoft L2TP/IPSec VPN-client, kunnen IPSec-sessies via een NAT verlopen als de VPN-server ook IPSec NAT-T ondersteunt. IPSec NAT-T wordt ondersteund door Windows Server 2003. IPSec NAT-T wordt ook ondersteund door Windows 2000 Server met de L2TP/IPSec NAT-T-update voor Windows XP en Windows 2000.
Neem voor VPN-servers en gateways van derden contact op met uw beheerder of leverancier van VPN-gateway om te controleren of IPSec NAT-T wordt ondersteund.
Meer informatie
Het configuratiehulpprogramma biedt ook een selectievakje waarmee IPSec-logboekregistratie wordt ingeschakeld. Als u geen verbinding kunt maken en uw netwerkbeheerder of ondersteunend personeel u heeft gevraagd om een verbindingslogboek te verstrekken, kunt u hier IPSec-logboekregistratie inschakelen. Wanneer u dit doet, wordt het logboek (Isakmp.log) gemaakt in de map C:\Program Files\Microsoft IPSec VPN. Wanneer u een verbinding maakt, schakelt u ook logboekregistratie in voor de PPP-verwerking in L2TP. U gaat hiervoor als volgt te werk:
- Klik met de rechtermuisknop op de map Inbelnetwerken en klik vervolgens op Eigenschappen.
- Klik op het tabblad Netwerken en schakel vervolgens het selectievakje Een logbestand voor deze verbinding opnemen in.
Het PPP-logboekbestand is C:\Windows\Ppplog.txt. Het bevindt zich in de map C:\Program Files\Microsoft IPSec VPN.
Raadpleeg Standaardversleutelingsinstellingen voor de Microsoft L2TP/IPSec Virtual Private Network-client voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor