Temas Relacionados
Solucionar Problemas de Mobile VPN with L2TP
Este tema describe los tipos comunes de problemas que podría encontrar con Mobile VPN with L2TP y describe las soluciones que resuelven estos problemas con mayor frecuencia. Incluso después de que el cliente VPN se conecta, el tráfico del cliente no será capaz de alcanzar algunos recursos de red debido a problemas de configuración de la red o de la política.
Si el cliente VPN puede conectarse con un recurso de red por la dirección IP pero no por nombre, el dispositivo cliente podría no tener la información correcta del WINS y DNS para su red. Su Firebox proporciona automáticamente dispositivos cliente con las direcciones IP WINS y DNS configuradas en los ajustes globales de WINS/DNS.
Para obtener información sobre cómo configurar direcciones IP de WINS y DNS en Fireware Web UI, consulte Configurar Servidores WINS y DNS.
Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado para conectarse, esto indica que el sufijo DNS no está definido en el cliente.
Un cliente sin un sufijo DNS asignado debe utilizar el nombre entero del DNS para determinar el nombre de una dirección IP. Por ejemplo, si su servidor de terminal tiene un nombre DNS RDP.ejemplo.net, un usuario no puede ingresar la dirección RDP para conectarse con el cliente de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS, ejemplo.net.
Para resolver este problema, debe especificar el sufijo DNS que su PC usa para resolver los nombres de host cuando está conectado a la VPN. Para obtener más información, consulte Configuración de ajustes DNS para clientes VPN L2TP en la Base de Consulta de WatchGuard.
Las rutas L2TP están definidas por el equipo cliente. En un cliente de Windows, si no marcó la casilla de selección Usar puerta de enlace predeterminada en red remota, el equipo cliente enruta el tráfico a través del túnel VPN solo si el destino del tráfico es la subred /24 de la dirección IP virtual asignada al equipo cliente. Por ejemplo, si se asigna el cliente a la dirección IP virtual 10.0.1.225, el tráfico destinado a la red 10.0.1.0/24 es enrutado a través del túnel VPN, pero el tráfico destinado a 10.0.2.0 no lo es.
Para obtener más información sobre cómo configurar esta opción, consulte Opciones de Acceso a Internet a través de un Túnel Mobile VPN with L2TP.
Cuando habilita Mobile VPN with L2TP, la política Permitir Usuarios L2TP se crea automáticamente para permitir el tráfico de clientes L2TP hacia recursos internos o externos de red. Si ha deshabilitado o eliminado esta política, los clientes no pueden enviar tráfico hacia redes internas o externas.
Para obtener más información sobre este informe, vea Acerca de Políticas L2TP.
Verifique que el usuario sea un miembro del grupo de Usuarios L2TP en el servidor de autenticación. En algunas versiones de sistema operativo, los usuarios L2TP podrían ser capaces de conectarse incluso cuando están en el grupo incorrecto. Si utiliza RADIUS para la autenticación de usuarios, el servidor RADIUS debe regresar la membrecía del grupo como el atributo de Identificación del Filtro.
Para obtener más información acerca de la autenticación de usuario en Mobile VPN with L2TP, consulte Acerca de la Autenticación de Usuario L2TP.
Verifique que el usuario sea un miembro del grupo de Usuarios L2TP en el servidor de autenticación. Si el usuario no está en el grupo correcto, la conexión de Windows podría devolver el código de error 691. Cuando ocurre este tipo de error, el archivo de registro de Firebox incluye este tipo de mensaje:
2014-08-14 13:01:44 admd Autenticación de usuario L2TPVPN [johndoe@Firebox-DB] desde 198.51.100.2 rechazado, el usuario no está en el grupo Evento correcto id="1100-0005"
Si utiliza RADIUS para la autenticación de estos usuarios, el servidor RADIUS debe regresar la membrecía del grupo como el atributo de Identificación del Filtro.
Para obtener más información acerca de la autenticación de usuario en Mobile VPN with L2TP, consulte Acerca de la Autenticación de Usuario L2TP.
Si sus clientes VPN pueden conectarse con ciertas partes de la red, pero no con otras, o el tráfico falla de otra manera cuando se permite tráfico que muestra mensajes de registro, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:
- El grupo virtual de direcciones IP para clientes Mobile VPN with IPSec no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
- El grupo virtual de direcciones IP no se traslapa ni está en conflicto con otras redes enrutadas o VPN configuradas en el Firebox.
- Si los usuarios de Mobile VPN with L2TP deben acceder a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo virtual de direcciones IP, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.
Para obtener más información sobre cómo configurar un grupo de direcciones IP, consulte Editar la Configuración Mobile VPN with L2TP.
Si no puede conectarse a los recursos de la red a través de un túnelVPN establecido, consulte Solución de problemas de Conectividad de Red para obtener información sobre otros pasos que puede seguir para identificar y resolver el problema.