虚拟专用网络服务器VPN疑难解答

运维 系统运维
本文主要介绍了VPN的疑难解答,VPN出现故障的原因及解决方案。

继上文如何安装和配置虚拟专用网络服务器之后,本文继续介绍虚拟专用网络服务器VPN疑难解答。

疑难解答

远程访问VPN的疑难解答

无法建立远程访问VPN连接

·原因:客户计算机的名称与网络上另一台计算机的名称相同。

解决方案:验证网络上的所有计算机和连接到网络的计算机是否都使用唯一的计算机名称。

·原因:VPN服务器上未启动“路由和远程访问”服务。

解决方案:验证VPN服务器上“路由和远程访问”服务的状态。

·原因:VPN服务器上未启用远程访问。

解决方案:在VPN服务器上启用远程访问。

·原因:未为入站远程访问请求打开PPTP或L2TP端口。

解决方案:为入站远程访问请求打开PPTP或L2TP端口,或同时打开两个端口。

·原因:在VPN服务器上未启用VPN客户端使用的LAN协议来支持远程访问。

解决方案:在VPN服务器上启用VPN客户端使用的LAN协议以支持远程访问。

·原因:VPN服务器上的所有PPTP或L2TP端口已被当前连接的远程访问客户端或请求拨号路由器使用。

解决方案:验证VPN服务器上的所有PPTP或L2TP端口是否都已被使用。为此,请在“路由和远程访问”中单击端口。如果允许的PPTP或L2TP端口的数目不够高,则可以更改PPTP或L2TP端口的数目以允许更多的同时连接。

·原因:VPN服务器不支持VPN客户端的隧道协议。

默认情况下,WindowsServer2003的远程访问VPN客户端使用自动服务器类型选项,这意味着他们试图首先建立一个基于IPSsec的L2TPVPN连接,然后试图建立一个基于PPTP的VPN连接。如果VPN客户端使用点对点隧道协议(PPTP)或第2层隧道协议(L2TP)两者中的一种服务器类型选项,请验证选中的隧道协议是否受VPN服务器支持。

默认情况下,一台运行WindowsServer2003和“路由和远程访问”服务的计算机就是一个有五个L2TP端口和五个PPTP端口的PPTP和L2TP服务器。若要使创建的服务器只为PPTP服务器,请将L2TP端口的数量设置为零。若要使创建的服务只为L2TP服务器,请将PPTP端口的数量设置为零。

解决方案:验证是否配置了相应数目的PPTP或L2TP端口。

·原因:VPN客户端和VPN服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。

解决方案:将VPN客户端和VPN服务器以及远程访问策略配置为至少使用一种通用身份验证方法。

·原因:VPN客户端和VPN服务器以及远程访问策略未配置为至少使用一种通用加密方法。

解决方案:将VPN客户端和VPN服务器以及远程访问策略配置为至少使用一种通用加密方法。

·原因:VPN连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。

解决方案:验证VPN连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。若要建立连接,连接尝试的设置必须:

至少满足一种远程访问策略的所有条件。

通过用户帐户(设置为允许访问)或通过用户帐户(设置为“通过远程访问策略控制访问”)授予远程访问权限,并授予匹配的远程访问策略的远程访问权限(设置为“授予远程访问权限”)。

与该配置文件的所有设置匹配。

与该用户帐户的拨入属性的所有设置相匹配。

·原因:远程访问策略配置文件的设置与VPN服务器的属性冲突。

远程访问策略配置文件的属性和VPN服务器的属性都包含下列设置:

多重链接。带宽分配协议(BAP)。

身份验证协议。

如果相应的远程访问策略的配置文件的设置与VPN服务器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用可扩展身份验证协议—传输层安全性(EAP-TLS)身份验证协议,而VPN服务器上未启用EAP,则连接尝试将被拒绝。

解决方案:验证远程访问策略配置文件的设置以确保不与VPN服务器的属性冲突。

·原因:应答路由器无法验证呼叫路由器的凭据(用户名、密码和域名)。

解决方案:验证VPN客户端的凭据(用户名、密码和域名)是否正确以及是否可被VPN服务器验证。

·原因:在静态IP地址池中没有足够的地址。

解决方案:如果VPN服务器配置了静态IP地址池,请验证池中是否有足够的地址。如果静态池中的所有地址都已分配给已连接的VPN客户端,则VPN服务器将无法分配IP地址,连接尝试将被拒绝。如果已分配了静态池中的所有地址,则修改池。

·原因:VPN客户端配置为可请求其自己的IPX节点编号,而VPN服务器配置为不允许IPX客户端请求它们自己的IPX节点编号。

解决方案:配置VPN服务器使之允许IPX客户端请求它们自己的IPX节点编号。

·原因:给VPN服务器配置了一段IPX网络上其他地方正在使用的IPX网络编号范围。

解决方案:给VPN服务器配置一个在IPX网络上唯一的IPX网络编号范围。

·原因:VPN服务器的身份验证提供程序配置不正确。

解决方案:验证身份验证提供程序的配置是否正确。您可以配置VPN服务器使用WindowsServer2003或远程身份验证拨入用户服务(RADIUS)来验证VPN客户端的凭据。

·原因:VPN服务器无法访问ActiveDirectory。

解决方案:如果VPN服务器是混合模式或本机模式WindowsServer2003域的一个成员服务器而且配置为使用WindowsServer2003身份验证,则请验证:

“RAS和IAS服务器”安全组是否存在。如果不存在,请创建该组并将组类型设置为“安全”并将组作用域设置为“本地域”。

“RAS和IAS服务器”安全组对“RAS和IAS服务器访问检查”对象有读取权限。

VPN服务器计算机的计算机帐户是“RAS和IAS服务器”安全组中的一个成员。可以使用“netshrasshowregisteredserver”命令查看当前注册。可以使用“netshrasaddregisteredserver”命令在指定的域中注册服务器。

如果您向RAS和IAS服务器安全组添加(或从中去除)VPN服务器计算机,则此更改不会立即生效(这是由WindowsServer2003缓存ActiveDirectory信息的方式决定的)。若要使更改立即生效,请重新启动VPN服务器计算机。

VPN服务器是该域的一个成员。

·原因:基于WindowsNT4.0的VPN服务器无法验证连接请求。

解决方案:如果VPN客户端正在拨入到运行着WindowsNT4.0的VPN服务器,而此服务器是WindowsServer2003混合模式域的成员,则请使用下列命令验证Everyone组是否已添加到Pre-Windows2000CompatibleAccess组中:

"netlocalgroup"Pre-Windows2000CompatibleAccess""

如果没有,则请在域控制器计算机上的命令提示符处键入下列命令,然后重新启动域控制器计算机:

netlocalgroup"Pre-Windows2000CompatibleAccess"everyone/add

·原因:VPN服务器无法与配置的RADIUS服务器通讯。

解决方案:如果只能通过Internet接口访问RADIUS服务器,则执行以下操作之一:

为UDP端口1812的Internet接口添加一个输入过滤器和一个输出过滤器(依据RFC2138“远程身份验证拨入用户服务(RADIUS)”)。–或-

为UDP端口1645(针对较早的RADIUS服务器)以及RADIUS身份验证和UDP端口1813(基于RFC2139“RADIUS计帐”)的Internet接口添加一个输入筛选器和一个输出筛选器。-或-

为用于RADIUS计帐的UDP端口1646(针对较早的RADIUS服务器)的Internet接口添加一个输入筛选器和一个输出筛选器。

·原因:无法使用Ping.exe实用程序通过Internet连接到VPN服务器。

解决方案:由于在VPN服务器的Internet接口上配置了基于IPSec的PPTP和L2TP数据包筛选,ping命令使用的Internet控制消息协议(ICMP)数据包被筛选掉了。若要让VPN服务器能够响应ICMP(ping)数据包,请添加允许IP协议1通信量(ICMP通信量)的输入筛选器和输出筛选器。

“无法发送和接收数据”

·原因:未给被路由的协议添加适当的请求拨号接口。

解决方案:给被路由的协议添加适当的请求拨号接口。

·原因:路由器对路由器VPN连接的两端都没有支持双向通信量交换的路由。

解决方案:与远程访问VPN连接不同,路由器对路由器VPN连接不会自动创建默认路由。在路由器对路由器VPN连接的两端都创建路由,以便路由器对路由器VPN连接两端的通信量都可以路由到对方。

您可以手动向路由表中添加静态路由,也可以通过路由协议添加静态路由。对于持续性VPN连接,您可以在VPN连接上启用“开放式最短路径优先(OSPF)”或“路由信息协议(RIP)”。对于请求VPN连接,可以通过自动静态RIP更新来自动更新路由。

·原因:双向初始化的应答路由器作为远程访问连接,正在解释路由器对路由器的VPN连接。

解决方案:如果呼叫路由器的凭据中的用户名出现在“路由和远程访问”中的拨入客户端下,则应答路由器将把呼叫路由器解释为远程访问客户端。请验证呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫方是一个路由器,则接收呼叫的端口将显示为活动状态,而且相应的请求拨号接口处于连接状态。

·原因:呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。

解决方案:验证以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置IP和IPX输入和输出筛选器,以精确控制允许进出该请求拨号接口的TCP/IP和IPX通信量的性质。

·原因:远程访问策略配置文件中的数据包筛选器阻止了IP通信量的传输。

解决方案:验证以确保VPN服务器(如果使用了Internet身份验证服务则是RADIUS服务器)上的远程访问策略的配置文件属性上未配置阻止TCP/IP通信量接发的TCP/IP数据包筛选器。您可以使用远程访问策略来配置TCP/IP输入和输出数据包筛选器,以精确控制VPN连接上允许的TCP/IP通信量的性质。验证以确保配置文件TCP/IP数据包筛选器未阻止通信量的传输。

希望本文介绍的虚拟专用网络服务器VPN的疑难解答能够对读者有所帮助。

【编辑推荐】

  1. 详细讲解Linux系统VPN服务器配置
  2. 如何安装和配置虚拟专用网络服务器?
  3. Windows 2008下VPN网络连接设置方法
  4. 在Ubuntu 8.10上连接到微软VPN服务器
  5. Windows XP下实现高效安全的VPN连接
责任编辑:韩亚珊 来源: 博客转载
相关推荐

2011-08-01 11:10:21

2009-08-27 08:26:13

思科认证疑难解答CCNACCDA

2010-12-30 17:46:20

Office 2010批量激活

2009-03-10 09:48:00

2010-08-12 13:04:07

路由器IP故障

2012-03-21 09:44:15

云计算开源

2009-01-18 09:23:00

2010-12-31 10:37:09

2011-09-29 10:28:51

移动虚拟专用网络mobileVPN

2009-10-20 10:00:08

Windows 7疑难解答

2009-07-13 15:35:45

VMwareVCB整合备份

2019-11-29 16:00:49

Windows 10硬件设备

2011-02-22 11:23:48

vsFTPDLinux服务器

2011-07-14 15:28:11

服务器

2014-06-26 14:10:44

2011-07-14 14:17:33

网络服务器配置DNS服务器

2011-09-05 09:23:50

2011-07-14 14:45:01

网络服务器配置DHCP服务器

2011-02-22 11:23:48

vsFTPDLinux服务器

2011-08-22 11:00:17

nagios
点赞
收藏

51CTO技术栈公众号