本文說明如何針對 L2TP/IPSec 虛擬私人網路 (VPN) 連線問題進行疑難排解。
套用於:Windows 10 - 所有版本
原始 KB 編號: 325034
摘要
必須先有網際網路連線,才能建立 L2TP/IPSec VPN 連線。 如果嘗試在連線到網際網路前建立 VPN 連線,可能會遇到很長的延遲,通常是 60 秒,然後可能會收到錯誤訊息,指出數據機或其他通訊裝置沒有任何回應或發生錯誤。
針對 L2TP/IPSec 連線進行疑難排解時,請瞭解 L2TP/IPSec 連線的繼續方式。 啟動連線時,會將初始 L2TP 封包傳送至伺服器,請求連線。 此封包會讓電腦上的 IPSec 層與 VPN 伺服器交涉,以 (安全性關聯) 設定受 IPSec 保護的工作階段。 IPSec 交互可能需要幾秒鐘到大約兩分鐘的時間,影響因素有很多,包括連結速度。 建立 SA) (IPSec 安全性關聯時,會啟動 L2TP 工作階段。 啟動後,您會收到輸入名稱和密碼提示,(除非連線已設定為在 Windows Millennium Edition 中自動連線。) 如果 VPN 伺服器接受您的名稱和密碼,工作階段設定就會完成。
L2TP/IPSec 連線中的常見設定失敗是憑證設定錯誤或遺失,或預先共用的金鑰設定錯誤或遺失。 如果 IPSec 層無法與 VPN 伺服器建立加密工作階段,則會以無訊息方式失敗。 因此,L2TP 層不會看到其連線要求的回應。 延遲時間很長,通常為 60 秒,然後可能會收到錯誤訊息,指出伺服器沒有回應,或數據機或通訊裝置沒有回應。 如果在收到名稱和密碼提示之前收到此錯誤訊息,IPSec 不會建立其工作階段。 如果發生這種情況,請檢查您的憑證或預先共用的金鑰組態,或將 isakmp 記錄傳送給您的網路系統管理員。
妨礙 IPSec 工作階段成功的第二個常見問題是使用網路位址轉譯 (NAT)。 許多小型網路使用具有 NAT 功能的路由器,在網路上的所有電腦之間共用單一網際網路位址。 原始版本的 IPSec 會卸載通過 NAT 的連線,因為它偵測到 NAT 的位址對應為封包竄改。 家用網路經常使用 NAT。 除非用戶端和 VPN 閘道都支援新興的 IPSec NAT-Traversal (NAT-T) 標準,否則這會封鎖使用 L2TP/IPSec。 如需詳細資訊,請參閱「更多資訊」一節。
如果在收到名稱和密碼提示之後連線失敗,則已建立 IPSec 工作階段,而且您的名稱和密碼可能有問題。 其他伺服器設定也可能阻止 L2TP 連線成功。 在此情況下,請將 PPP 記錄傳送給您的系統管理員。
NAT 周遊
透過 Microsoft L2TP/IPSec VPN 用戶端的 IPSec NAT-T 支援,當 VPN 伺服器也支援 IPSec NAT-T 時,IPSec 工作階段可以通過 NAT。 Windows Server 2003 支援 IPSec NAT-T。 Windows 2000 Server 也支援 IPSec NAT-T,並針對 Windows XP 和 Windows 2000 提供 L2TP/IPSec NAT-T 更新。
對於協力廠商 VPN 伺服器和閘道的部分,請連絡您的系統管理員或 VPN 閘道廠商,確認是否支援 IPSec NAT-T。
其他相關資訊
設定公用程式也會提供可啟用 IPSec 記錄的核取方塊。 如果您無法連線,且網路系統管理員或支援人員要求您提供連線記錄,您可以在這裡啟用 IPSec 記錄。 當您這樣做時,會在 C:\Program Files\Microsoft IPSec VPN 資料夾中建立 (isakmp.log) 記錄檔。 當您建立連線時,也請在 L2TP 中啟用 PPP 處理的記錄功能。 若要這麼做︰
- 以滑鼠右鍵按一下 [撥號網路] 資料夾,然後按一下 [屬性]。
- 按一下 [網路] 分頁,然後按一下以選取 [記錄此連線的記錄檔] 核取方塊。
PPP 記錄檔為 C:\Windows\Ppplog.txt。 它位於 C:\Program Files\Microsoft IPSec VPN 資料夾。
如需詳細資訊,請參閱 Microsoft L2TP/IPSec 虛擬私人網路用戶端的預設加密設定。