【WALL1600 下一代防火墙】L2TP VPN拨入不成功

发布时间：2013-11-22

点击量：2762

1 、故障现象

XP系统拨入L2TP VPN常见的故障现象

１.如下图为客户端没有把"数据加密"选择为“可选加密(没有加密也可以连接)”时的报错；

2.如下图为XP系统没有修改注册表时报错；

3.如下图为防火墙没有允许l2tp拨入或客户端与防火墙网络不可达时的报错；

4.如下图为客户端用户名或密码输入错误时的报错；

WIN7系统拨入L2TP VPN常见的故障现象

１.如下图为客户端没有把"数据加密"选择为“可选加密(没有加密也可以连接)”时的报错；

2.如下图为防火墙没有允许l2tp拨入或客户端与防火墙网络不不可达时的报错；

3.如下图为客户端用户名或密码输入错误时的报错；

2、故障可能原因
         客户端与防火墙网络不可达
         防火墙配置错误
         客户端配置错误

3 、故障处理流程

4、故障处理步骤

步骤1：确认客户端与防火墙可以正常通信

要成功拨入vpn，首先要确保PC能正常与防火墙通信，通过以下方法测试客户端与防火墙的通信是否正常。
１.在客户端PC上ping防火墙外网接口地址看是否可以ping通；

说明：能ping通只能代表客户端到防火墙的网络是可达的，不能代表l2tp服务就一定是放通的。
2.在防火墙上使用debug功能，查看在客户端拨号时数据是否已经到达防火墙。如下图表示客户端拨号数据已经正常到达防火墙。

如果在debug时没有没有看到客户端发起的数据，则确认:
a.客户端电脑是否能正常上网；
b.确认防火墙能否正常上公网；
c.确认防火墙是否在内网，外网的路由器没有给防火墙做l2tp的映射，l2tp的端口为UDP 1701，如果有映射对比映射是否正确。

步骤2 ：确认防火墙配置是否正确

第1步、确认防火墙在外网接口上允许了l2tp拨入
如图１必须要允许l2tp拨入，没有勾选就会出现如图2(XP系统)、图3(win7系统)的报错，在网络管理－－接口－－接口处查看配置。

图1

图2
图3
第2步、确认防火墙已经启用了L2TP功能
如图1启用L2TP功能，建意不要勾选“用户唯一性检查”勾后如果有两个人同时使用一个账号登陆时，第二个人登陆就会出现如图2报错。

图1

图2

步骤3 ：确认客户端参数是否设置正确

第1步、确认数据加密选项是否设置正确
如图1为系统默认的“数据加密”配置如果不修改就会出现如图2报错，需要选择高级,把数据加密设置为"可选加密"如图3

图1

图2

图3
第2步、确认系统是否有修改注册表
由于XP系统默认情况下，L2TP是与IPSec/IKE绑定使用的，而大多数的L2TP网关设备没有将L2TP与IPSec/IKE绑定。在没有修改注册表的情况下，就会出现如下图１的报错。

图1
可以通过修改Windows的注册表来解除此限制，修改方法如下:
1. 首先点击”开始”，然后选中”运行”，接着键入”regedit”进入注册表编辑器找到这个目录：
”HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters”
2. 然后在这个目录下Windows 2000创建一个名称为” Prohibitipsec”的双字节值并设其值为1，在WindowsXP中，新建名称为” Prohibitipsec”类型为DWORD，数值为1的项目,按F5刷新注册表，最后重启Windows。
修改好后如图2

图2
第3步、确认VPN类型选择是否正确
如下图为vpn类型的选择,可以选择为"L2TP IPSec VPN" 和"自动"

第4步、确认拨入成功
如下图1、图2、图3(防火墙上看到的拨入用户)为l2tp拨入成功的状态,如果没有成功拨入，再参考骤1、步骤2核对配置，网络是否存在问题。如果还是无法解决参考“步骤4：还是无法解决收集信息联系4008111000”

图1

图2

图3

第1步、确认数据加密选是否设置正确
如图1为系统默认的“数据加密”配置如果不修改就会出现如图2报错，需要选择高级,把数据加密设置为"可选加密"如图3

图1

图2

图3
第2步、确认VPN类型选择是否正确
如图1为vpn类型的选择,可以选择为"使用IPsec 的第2层隧道协议(L2TP/IPSec)" 和"自动",建议选前者，拨入速度会较快。如图2为vpn的类型的“高级设置”内容保持为默认即可。

图1

图2
第4步、确认拨入成功
如下图1、图2(防火墙上看到的拨入用户)为l2tp拨入成功的状态,如果没有成功拨入，再参考骤1、步骤2核对配置，网络是否有问题。如果还是无法解决参考“步骤4：还是无法解决收集信息联系4008111000”