Dépanner Mobile VPN with IPSec

Cette rubrique décrit les catégories de problèmes habituels que vous pouvez rencontrer avec Mobile VPN with IPSec ainsi que leurs solutions les plus courantes. Même après que le client VPN IPSec se soit connecté, le trafic client peut ne pas pouvoir se connecter à certains réseaux en raison de problèmes de configuration de stratégie ou de réseau.

Le client VPN peut se connecter, mais les utilisateurs ne peuvent pas se connecter aux ressources internes par leur nom.

Si le client VPN peut se connecter à une ressource réseau par son adresse IP mais pas par son nom, le périphérique client ne dispose pas des informations WINS et DNS correctes pour votre réseau. Votre Firebox fournit automatiquement aux périphériques clients les adresses IP DNS et WINS configurées dans les paramètres globaux WINS/DNS sur votre périphérique.

Pour plus d'informations sur la configuration des adresses IP DNS et WINS, consultez Configurer des serveurs WINS et DNS.

Le client VPN peut se connecter, mais les utilisateurs ne peuvent pas se connecter aux ressources internes avec un nom d'hôte en une partie.

Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client. Lorsque vous utilisez Mobile VPN with IPSec avec le client Shrew Soft, le client WatchGuard Mobile VPN with IPSec (NCP) ou un autre client pris en charge, le Firebox assigne au client VPN les paramètres DNS configurés sur le Firebox. Mais il n'assigne pas le suffixe DNS.

Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour trouver une adresse. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter à leurs clients Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.

Pour résoudre ce problème, vous pouvez ajouter le suffixe DNS dans la configuration du client Mobile VPN. Pour plus d'informations, consultez ces articles dans la base de connaissances WatchGuard :

Configurer le DNS du client WatchGuard IPSec Mobile VPN

Configurer le DNS dans le client VPN IPSec Shrew Soft

Configurez les paramètres DNS pour les connexions VPN à partir d'un périphérique Android

Le client VPN peut se connecter mais l'échange de données échoue. En raison de l'appartenance à un groupe, des messages de journal Paquet MUVPN non-géré sont générés.

Sur le serveur d'authentification utilisé pour le Mobile VPN, vérifiez que l'utilisateur est membre d'un groupe qui correspond exactement au nom de profil du groupe Mobile VPN with IPSec. Par exemple, si le nom de profil du groupe Mobile VPN with IPSec est ipsec-users et qu'il est configuré pour utiliser un domaine Active Directory, vous devez vous assurer que chaque utilisateur mobile VPN est membre du groupe ipsec-users sur le serveur Active Directory. Assurez-vous que le nom de groupe Active Directory et sa casse correspondent exactement au nom de groupe Mobile VPN with IPSec.

Pour l'authentification RADIUS, SecurID et VASCO, le serveur d'authentification doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.

Pour plus d'informations sur l'appartenance au groupe Mobile VPN with IPSec, consultez Configurer le serveur d'authentification externe.

Le client VPN peut se connecter mais l'échange de données échoue. Si la configuration de stratégie est incorrecte, des messages de journal Paquet MUVPN non-géré sont générés.

Lorsque vous créez la première fois un profil Mobile VPN with IPSec, une stratégie est automatiquement créée, permettant le trafic sur tous les ports et protocoles de tous les réseaux définis dans la section Ressources Autorisées de la configuration Mobile VPN. Si par la suite, vous modifiez les Ressources Autorisées du profil Mobile VPN with IPSec, vous devez aussi modifier les Ressources Autorisées de la stratégie Mobile VPN with IPSec pour correspondre aux adresses réseau du profil Mobile VPN with IPSec mis à jour.

Pour plus d'informations sur la modification de la stratégie, consultez Configurer les Stratégies pour Filtrer le Trafic IPSec Mobile VPN.

Le client VPN peut se connecter et le trafic semble autorisé, mais le client n'obtient jamais de réponse ou les connexions à certaines ressources réseau échouent.

Si vos clients VPN peuvent se connecter à certaines parties du réseau, mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :

Le pool d'adresses IP virtuelles des clients Mobile VPN with IPSec ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
Si les utilisateurs Mobile VPN with IPSec doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.

Pour plus d'informations sur la configuration d'un pool d'adresses IP virtuelles, consultez Modifier un profil de groupe Mobile VPN with IPSec existant.

Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.

Envoyer Vos Commentaires • Obtenir de l'Aide • Documentation Complète des Produits • Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.