Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur du felsöker anslutningsproblem med virtuellt privat L2TP/IPSec-nätverk (VPN).
Gäller för: Windows 10 – alla versioner
Ursprungligt KB-nummer: 325034
Sammanfattning
Du måste ha en Internetanslutning innan du kan upprätta en L2TP/IPSec VPN-anslutning. Om du försöker upprätta en VPN-anslutning innan du har en Internetanslutning kan det uppstå en lång fördröjning, vanligtvis 60 sekunder, och sedan kan du få ett felmeddelande om att det inte fanns något svar eller att något är fel med modemet eller någon annan kommunikationsenhet.
När du felsöker L2TP/IPSec-anslutningar är det användbart att förstå hur en L2TP/IPSec-anslutning fortgår. När du startar anslutningen skickas ett första L2TP-paket till servern och begär en anslutning. Det här paketet gör att IPSec-lagret på datorn förhandlar med VPN-servern för att konfigurera en IPSec-skyddad session (en säkerhetsassociation). Beroende på många faktorer, inklusive länkhastighet, kan IPSec-förhandlingarna ta från några sekunder till cirka två minuter. När en IPSec-säkerhetsassociation (SA) har upprättats startar L2TP-sessionen. När den startar får du en uppmaning att ange ditt namn och lösenord (såvida inte anslutningen har konfigurerats för att ansluta automatiskt i Windows Millennium Edition.) Om VPN-servern accepterar ditt namn och lösenord slutförs sessionskonfigurationen.
Ett vanligt konfigurationsfel i en L2TP/IPSec-anslutning är ett felkonfigurerat eller saknat certifikat, eller att en i förväg delad nyckel saknas eller är felkonfigurerad. Om IPSec-lagret inte kan upprätta en krypterad session med VPN-servern misslyckas det utan meddelanden. Resultatet blir att L2TP-lagret inte ser något svar på anslutningsbegäran. Det blir en lång fördröjning, vanligtvis 60 sekunder, och sedan kan du få ett felmeddelande om att det inte fanns något svar från servern eller att det inte fanns något svar från modemet eller kommunikationsenheten. Om du får det här felmeddelandet innan du uppmanas ange ditt namn och lösenord har IPSec inte upprättat sessionen. Om det inträffar undersöker du konfigurationen av certifikatet eller den i förväg delade nyckeln eller skickar isakmp-loggen till nätverksadministratören.
Ett annat vanligt problem som förhindrar en lyckad IPSec-session är att använda en NAT (Network Address Translation). Många små nätverk använder en router med NAT-funktioner för att dela en enda Internetadress mellan alla datorer i nätverket. Den ursprungliga versionen av IPSec släpper en anslutning som går via en NAT eftersom den identifierar NAT:s adressmappning som paketmanipulering. Hemnätverk använder ofta en NAT. Detta blockerar användning av L2TP/IPSec om inte både klienten och VPN-gatewayen stöder den framväxande NAT-T-standarden (IPSec NAT-överträdelse). Mer information finns i avsnittet "NAT-överträdelse".
Om anslutningen misslyckas efter att du har uppmanats att ange ditt namn och lösenord har IPSec-sessionen upprättats och det är förmodligen något fel med ditt namn och lösenord. Andra serverinställningar kan också förhindra en lyckad L2TP-anslutning. I det här fallet skickar du PPP-loggen till administratören.
NAT-överträdelse
Med stöd för IPSec NAT-T i VPN-klienten Microsoft L2TP/IPSec kan IPSec-sessioner gå via en NAT när VPN-servern också stöder IPSec NAT-T. IPSec NAT-T stöds av Windows Server 2003. IPSec NAT-T stöds också av Windows 2000 Server med NAT-T-uppdateringen L2TP/IPSec för Windows XP och Windows 2000.
För VPN-servrar och gatewayer från tredje part kontaktar du administratören eller VPN-gatewayleverantören för att kontrollera att IPSec NAT-T stöds.
Mer information
Konfigurationsverktyget innehåller också en kryssruta som aktiverar IPSec-loggning. Om du inte kan ansluta och nätverksadministratören eller supportpersonalen har bett dig att ge dem en anslutningslogg kan du aktivera IPSec-loggning här. När du gör det skapas loggen (Isakmp.log) i C:\Program Files\Microsoft IPSec VPN mappen. När du skapar en anslutning aktiverar du även loggning för PPP-bearbetningen i L2TP. Så här gör du:
- Högerklicka på mappen Fjärranslutning och klicka sedan på Egenskaper.
- Klicka på fliken Nätverk och klicka sedan för att markera kryssrutan Registrera en loggfil för den här anslutningen.
PPP-loggfilen är C:\Windows\Ppplog.txt. Den finns i mappen C:\Program Files\Microsoft IPSec VPN.