Rubriques Connexes
Dépanner Mobile VPN with IPSec
Cette rubrique décrit les catégories de problèmes habituels que vous pouvez rencontrer avec Mobile VPN with IPSec ainsi que leurs solutions les plus courantes. Même après que le client VPN IPSec se soit connecté, le trafic client peut ne pas pouvoir se connecter à certains réseaux en raison de problèmes de configuration de stratégie ou de réseau.
Si le client VPN peut se connecter à une ressource réseau par son adresse IP mais pas par son nom, le périphérique client ne dispose pas des informations WINS et DNS correctes pour votre réseau. Votre Firebox fournit automatiquement aux périphériques clients les adresses IP DNS et WINS configurées dans les paramètres globaux WINS/DNS sur votre périphérique.
Pour plus d'informations sur la configuration des adresses IP DNS et WINS, consultez Configurer des serveurs WINS et DNS.
Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client. Lorsque vous utilisez Mobile VPN with IPSec avec le client Shrew Soft, le client WatchGuard Mobile VPN with IPSec (NCP) ou un autre client pris en charge, le Firebox assigne au client VPN les paramètres DNS configurés sur le Firebox. Mais il n'assigne pas le suffixe DNS.
Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour trouver une adresse. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter à leurs clients Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.
Pour résoudre ce problème, vous pouvez ajouter le suffixe DNS dans la configuration du client Mobile VPN. Pour plus d'informations, consultez ces articles dans la base de connaissances WatchGuard :
Configurer le DNS du client WatchGuard IPSec Mobile VPN
Configurer le DNS dans le client VPN IPSec Shrew Soft
Configurez les paramètres DNS pour les connexions VPN à partir d'un périphérique Android
Sur le serveur d'authentification utilisé pour le Mobile VPN, vérifiez que l'utilisateur est membre d'un groupe qui correspond exactement au nom de profil du groupe Mobile VPN with IPSec. Par exemple, si le nom de profil du groupe Mobile VPN with IPSec est ipsec-users et qu'il est configuré pour utiliser un domaine Active Directory, vous devez vous assurer que chaque utilisateur mobile VPN est membre du groupe ipsec-users sur le serveur Active Directory. Assurez-vous que le nom de groupe Active Directory et sa casse correspondent exactement au nom de groupe Mobile VPN with IPSec.
Pour l'authentification RADIUS, SecurID et VASCO, le serveur d'authentification doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.
Pour plus d'informations sur l'appartenance au groupe Mobile VPN with IPSec, consultez Configurer le serveur d'authentification externe.
Lorsque vous créez la première fois un profil Mobile VPN with IPSec, une stratégie est automatiquement créée, permettant le trafic sur tous les ports et protocoles de tous les réseaux définis dans la section Ressources Autorisées de la configuration Mobile VPN. Si par la suite, vous modifiez les Ressources Autorisées du profil Mobile VPN with IPSec, vous devez aussi modifier les Ressources Autorisées de la stratégie Mobile VPN with IPSec pour correspondre aux adresses réseau du profil Mobile VPN with IPSec mis à jour.
Pour plus d'informations sur la modification de la stratégie, consultez Configurer les Stratégies pour Filtrer le Trafic IPSec Mobile VPN.
Si vos clients VPN peuvent se connecter à certaines parties du réseau, mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :
- Le pool d'adresses IP virtuelles des clients Mobile VPN with IPSec ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
- Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
- Si les utilisateurs Mobile VPN with IPSec doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.
Pour plus d'informations sur la configuration d'un pool d'adresses IP virtuelles, consultez Modifier un profil de groupe Mobile VPN with IPSec existant.
Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.