Rubriques Connexes
Dépanner Mobile VPN with L2TP
Cette rubrique décrit les types de problèmes habituels que vous pouvez rencontrer avec Mobile VPN with L2TP ainsi que leurs solutions les plus courantes. Même après que le client VPN soit connecté, le trafic client peut ne pas réussir à se connecter à certaines ressources réseau en raison de problèmes de configuration de stratégie ou de réseau.
Si le client VPN peut se connecter à une ressource réseau par son adresse IP mais pas par son nom, le périphérique client ne dispose pas des informations WINS et DNS correctes pour votre réseau. Votre Firebox fournit automatiquement aux périphériques clients les adresses IP DNS et WINS configurées dans les paramètres globaux WINS/DNS.
Pour plus d'informations sur la configuration des adresses IP DNS et WINS dans Fireware Web UI, consultez Configurer des serveurs WINS et DNS.
Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client.
Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour transformer un nom en adresse IP. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter au client Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.
Pour corriger le problème, vous devez spécifier le suffixe DNS utilisé par votre ordinateur pour résoudre les noms d'hôte lorsqu'il est connecté au VPN. Pour de plus amples informations, consultez la section Configurer les paramètres DNS des clients VPN L2TP de la Base de Connaissances WatchGuard.
Le routage L2TP est défini par l'ordinateur client. Sur un client Windows, si vous ne cochez pas la case Utiliser la passerelle par défaut sur le réseau distant, l'ordinateur client dirige le trafic vers le tunnel VPN uniquement si la destination est le sous-réseau /24 de l'adresse IP virtuelle attribuée à l'ordinateur client. Par exemple, si le client reçoit comme adresse IP virtuelle 10.0.1.225, le trafic destiné au réseau 10.0.1.0/24 est dirigé à travers le tunnel VPN, mais le trafic destiné à 10.0.2.0 ne l'est pas.
Pour plus d'informations sur la configuration de cette option, consultez Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with L2TP.
Si vous activez Mobile VPN with L2TP, la stratégie Allow-L2TP-Users est automatiquement créée pour permettre le trafic entre les clients L2TP et les ressources réseau internes ou externes. Si vous avez désactivé ou supprimé cette stratégie, les clients ne pourront pas envoyer de données sur les réseaux internes et externes.
Pour plus d'informations sur cette stratégie, consultez À propos des Stratégies de L2TP.
Vérifiez que l'utilisateur est membre du groupe L2TP-Users sur le serveur d'authentification. Dans certaines versions des systèmes d'exploitation, les utilisateurs L2TP peuvent se connecter même s'ils appartiennent au mauvais groupe. Si vous utilisez RADIUS pour l'authentification des utilisateurs, le serveur RADIUS doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.
Pour plus d'informations sur l'authentification des utilisateurs dans Mobile VPN with L2TP, consultez À propos de l'Authentification des Utilisateurs L2TP.
Vérifiez que l'utilisateur est membre du groupe L2TP-Users sur le serveur d'authentification. Si l'utilisateur n'appartient pas au bon groupe, la fenêtre de connexion renverra certainement le code d'erreur 691. Lorsque ce type d'erreur survient, le fichier journal du Firebox inclut ce type de message :
2014-08-14 13:01:44 admd Authentication of L2TPVPN user [johndoe@Firebox-DB] from 198.51.100.2 rejected, user isn't in the right group id="1100-0005" Event
Si vous utilisez RADIUS pour authentifier ces utilisateurs, le serveur RADIUS doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.
Pour plus d'informations sur l'authentification des utilisateurs dans Mobile VPN with L2TP, consultez À propos de l'Authentification des Utilisateurs L2TP.
Si vos clients VPN peuvent se connecter à certaines parties du réseau mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :
- Le pool d'adresses IP virtuelles des clients Mobile VPN with L2TP ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
- Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
- Si les utilisateurs Mobile VPN with L2TP doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.
Pour plus d'informations sur la configuration du pool d'adresses IP, consultez Modifier la Configuration Mobile VPN with L2TP.
Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.