Авторизация

Поиск неисправностей VPN Windows 7-10 и L2TP / IPsec

ошибки в настройках подключения к VPN серверу

ВАЖНО!

Перед началом поиска проблем убедитесь, что все галочки на страницах "Гостевой доступ", "Белый список", "Маршрут по умолчанию" в вашем персональном разделе системы сняты! Это поможет локализовать и исправить ошибку быстрее.

Шаг 1. Подключение

В отличии от PPTP и L2TP без шифрования здесь сначала устанавливается шифрованный туннель IPsec, а затем внутри него осуществляется проверка имени пользователя и пароля по протоколу L2TP и методу авторизации CHAP.

1.1. Самая рапространненая причина невозможности устрановления соединения - ошибка в имени пользователя, пароле, адресе службы msk.vpnki.ru для Москвы и ams.vpnki.ru для Амстердама или кодовом слове (shared secret) - vpnki. Тут совет один - проверьте все еще раз.

1.2. Следующая распространенная причина - метод авторизации CHAP, который вы весьма вероятно могли забыть четко отметить в настройках подключения. Кстати, PAP пока тоже работает, но будет отключен как небезопасный.

1.3. Следующая причина - ваше соединение НЕ будет принято, если пользователь с таким именем уже подключен. В этом случае вы получите ошибку отклонения авторизации.
Если вы некорректно оборвали первое соединение (например, отвалился канал к провайдеру) и начали устранавливать его еще раз, то в это случае наша система может вас не подключить до того момента, пока не исчетет таймаут неактивности первой сессии.
В некоторых случаях этот таймаут может доходить до 5 минут.

1.4 Если вы все сделали верно, но соединение не устанавливается, то обратитесь к нам по адресу Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Сформулируйте ситуацию, сообщите время/дату неуспешного подключения, тип используемого протокола, а также имя пользователя, чье соединение не установилось.

Результат этого шага - Соединение установлено.

 

Шаг 2. Подключение установлено, как мне проверить что я на верном пути?

2.1. После установления соединения ваше устройство автоматически получит адрес из сети 172.16.0.0/16.
После этого вы должны успешно пинговать адрес сервера vpnki путем выполнения команды ping 172.16.0.1 на своем устройстве.
 
Если пинг не проходит, то убедитесь что новый интерфейс на вашей системе создался. Выполните команду ipconfig и убедитесь, что интерфейс pppX с адресом 172.16.x.x создался.

Затем проверьте настройки межсетевого экрана на предмет пропускания трафика icmp для нового интерфейса pppX.

2.2. Пинг адреса 172.16.0.1 проходит, но не сразу.
Это нормальная ситуация. В течение 10-12 секунд после установления соединения система vpnki ожидает запрос от вашего устройства на получение данных по протоколу DHCP. Такая длительность обусловлена подключением низкоскоростных каналов и поэтому мы вынуждены ждать.
Если запрос DHCP не приходит, то пропускание вашего трафика начнется через 12 секунд. Если запрос DHCP получен и обработан, то трафик пойдет без задержек.

Результат этого шага - команда ping 172.16.0.1 выполняется успешно.

 

Шаг 3. Подключение установлено, пинг адреса 172.16.0.1 успешен, что дальше?

Дальнейшие действия связаны с наличием маршрутной информации. Дело в том, что после подключения, адрес сервера vpnki - 172.16.0.1 является адресом, напрямую подключенным к вашему устройству по каналу точка-точка. По этой причине ваше устройство "знает" об этом адресе и успешно пингует его.
Однако, на этом этапе, ваше устройство не обладает информацией о других адресах вашей сети vpnki. Первым шагом будет являться "обучение" вашего устройства новому маршруту к сети vpnki 172.16.0.0/16
Именно в этой сети находятся все ваши прочие туннели.
Для достижения этой цели используются два метода:

  • получение этого маршрута от сервера по протоколу DHCP
  • прописывание статического маршрута в ручном режиме в командной строке Windows

Если вы настраивали все по инструкции на сайте (с использованием протокола DHCP), то после установления соединения ваше устройство получит информацию о маршруте к сети 172.16.0.0/16

Эта сеть должна быть доступна через адрес сервера vpnki - 172.16.0.1
Проверить это можно выполнив команду route print. В ее длинном выводе вы должны обнаружить следующую строку:

Сетевой адрес   Маска            Адрес шлюза    Интерфейс
172.16.0.0      255.255.0.0      172.16.0.1     172.16.x.x - выданный вам адрес

Если по какой-то причине данная строка не появилась то это означает, что протокол DHCP не отработал и маршрутная информация не получена. В этом случае имеет смысл разобраться в причине или добавить статический маршрут в ручном режиме.
В качестве обходного маневра вы можете прописать маршрут к сети 172.16.0.0/16 выполнив команду (с правами администратора!)
route add 172.16.0.0 mask 255.255.0.0 172.16.0.1

После этого вы должны успешно выполнить пинг своего "другого устройства", подключенного к сети vpnki по его адресу 172.16.x.x, выполнив команду ping 172.16.x.x

Однако обращаем внимание:

- второе устройство также должно содержать в своей таблице маршрутов путь к сети 172.16.0.0/16 для знания о том - куда отправять ответы на ваш пинг

- на втором вашем устройстве межсетевой экране не должен блокировать ответы на пакеты icmp. Проверить принципиальную возможность ответов устройства на пакеты утилиты ping вы можете с нашей страницы "Инструменты", указав адрес устройства. Если вы уверены, что устройство настроено правильно, но пинги с этой страницы не проходят, то смотрите настройки своего устройства относящиеся к протоколу icmp.

Результат этого шага - наличие маршрута к сети 172.16.0.0/16 в таблице маршрутов Windows устройства и/или успешный пинг вашего второго устройства по адресу 172.16.x.x.

 

Шаг 4. Пинг моего другого устройства по адресу 172.16.x.x успешен, а как выполнить пинг другого устройства по его внутреннему адресу 192.168.x.x?

Дальше начинается действие, ради которого все и затевалось - получение одним устройством c ОС Windows доступа к внутренней сети, расположенной за вторым устройством (маршрутизатором). Эти действия связаны с наличием маршрутной информации о сети "за" маршуртизатором и почти аналогичны предыдущему шагу, но с некоторыми отличиями. Теперь нам необходимо не только обучить ваш Windows "знанию" о сети 172.16.0.0/16, что было выполнено на предыдущем шаге, но и дать ему информацию о сети, расположенной "за" маршрутизатором вашего второго туннеля.

Прежде чем приступить к этому шагу вы должны убедиться в том, что сеть "за" вашим маршрутизатором НЕ пересекается с сетью, в которую подключена ваша Windows машина. То есть, если ваш Windows находится в сети 192.168.0.0/24 (например дом) и такая же сеть 192.168.0.0/24 расположена за вторым устройством (например дача) то такая конфигурация будет некорректной и из нее есть два выхода:

- перенастроить одну из сетей на другую схему адресации, например 192.168.1.0/24

- осуществить трансляцию портов на вашем втором устройстве в адрес, полученный от сети vpnki 172.16.x.x (эту конфигурацию мы не будем рассматривать в рамках настоящего документа)

Итак, если вы имеете разные сети, то теперь нам необходимо сообщить вашему Windows устройству о наличии сети, например 192.168.1.0/24, расположенной за ваш вторым туннелем. Для этого вам необходимо на вашей персональной странице настроек vpnki, для второго вашего туннеля (например дача) отметить галочкой то, что вы настраиваете маршуртизатор и за ним расположена сеть 192.168.1.0/24. Примененная на этой странице настройка добавит эту сеть в протокол DHCP и передаст в ваше Windows устройство при следующем подключении. Проверить это вы сможете выполнив команду route print. В ее длинном выводе вы должны обнаружить следующую строку:

Сетевой адрес       Маска            Адрес шлюза         Интерфейс
192.16.1.0          255.255.255.0    on-link             172.16.x.x - выданный вам адрес

Если по какой-то причине данная строка не появилась это означает, что протокол DHCP не отработал и маршрутная информация не получена. В этом случае имеет смысл разобраться в причине или добавить статический маршрут в ручном режиме.
В качестве обходного маневра вы можете прописать маршрут к сети 192.168.1.0/24 выполнив команду (с правами администратора!)
route add 192.168.1.0 mask 255.255.255.0 172.16.0.1

После этого вы должны успешно выполнить пинг своего "другого устройства", подключенного к сети vpnki по его внутреннему адресу (например 192.168.1.1), выполнив команду ping 192.168.1.1

Однако обращаем внимание:

- на то, что второе устройство (маршрутизатор) должно содержать в своей таблце маршрутов путь к сети 172.16.0.0/16 для отправки ответов на ваш пинг.

- на втором вашем устройстве (маршрутизаторе) межсетевой экран не должен блокировать ответы на пакеты icmp

Результат этого шага - наличие маршрута к сети 192.168.1.0/24 в таблице маршрутов Windows устройства и/или успешный пинг вашего второго устройства по внутреннему адресу 192.168.1.x.

Добавить комментарий


Защитный код
Обновить