Resolver Problemas de Mobile VPN with L2TP

Verifique que el usuario sea un miembro del grupo de Usuarios de L2TP en el servidor de autenticación. En algunas versiones de sistema operativo, los usuarios de L2TP podrían ser capaces de conectarse incluso cuando están en el grupo incorrecto. Si utiliza RADIUS para la autenticación de usuarios, el servidor RADIUS debe regresar la membrecía del grupo como el atributo de Identificación del Filtro.

Para obtener más información acerca de la autenticación de usuario en Mobile VPN with L2TP, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP.

Verifique que el usuario sea un miembro del grupo de Usuarios de L2TP en el servidor de autenticación. Si el usuario no está en el grupo correcto, la conexión de Windows podría devolver el código de error 691. Cuando ocurre este tipo de error, el archivo de registro de Firebox incluye este tipo de mensaje:

2014-08-14 13:01:44 admd Autenticación de usuario L2TPVPN [johndoe@Firebox-DB] desde 198.51.100.2 rechazado, el usuario no está en el grupo correcto id="1100-0005" Evento

Si utiliza RADIUS para la autenticación de estos usuarios, el servidor RADIUS debe regresar la membrecía del grupo como el atributo de Identificación del Filtro.

Para obtener más información acerca de la autenticación de usuario en Mobile VPN with L2TP, consulte Acerca de la Autenticación de Usuario de Mobile VPN with L2TP.

Si el cliente VPN puede conectarse con un recurso de red por la dirección IP pero no por nombre, el dispositivo cliente podría no tener la información correcta del WINS y DNS para su red.

En Fireware v12.2.1 o superior, puede seleccionar estas opciones en la configuración de Mobile VPN with L2TP:

• Asignar o no asignar los servidores DNS de Red (global) a los clientes móviles
• Asignar a los clientes móviles los servidores DNS especificados en la configuración de VPN móviles

En Fireware v12.2 o inferior, su Firebox proporciona automáticamente a los dispositivos clientes las direcciones IP de DNS configuradas en los ajustes de DNS/WINS de Red (global) en su dispositivo.

Para obtener información sobre cómo configurar direcciones IP de WINS y DNS en Fireware Web UI, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with L2TP.

Si los usuarios no pueden utilizar un nombre de host de una sola parte para conectarse con los recursos internos de red, pero pueden utilizar un Nombre de Dominio Totalmente Calificado para conectarse, esto indica que el sufijo DNS no está definido en el cliente.

Un cliente sin un sufijo DNS asignado debe utilizar el nombre entero del DNS para determinar el nombre de una dirección IP. Por ejemplo, si su servidor de terminal tiene un nombre DNS RDP.ejemplo.net, un usuario no puede ingresar la dirección RDP para conectarse con el cliente de servidor de terminal. Los usuarios también deben ingresar el sufijo DNS, ejemplo.net.

Para resolver este problema, debe especificar el sufijo DNS que su PC usa para resolver los nombres de host cuando está conectado a la VPN. Para obtener más información, consulte Configuración de ajustes DNS para clientes VPN L2TP en la Base de Consulta de WatchGuard.

Las rutas L2TP están definidas por el equipo cliente. En un cliente de Windows, si no marcó la casilla de selección Usar puerta de enlace predeterminada en red remota, el equipo cliente enruta el tráfico a través del túnel VPN solo si el destino del tráfico es la subred /24 de la dirección IP virtual asignada al equipo cliente. Por ejemplo, si se asigna el cliente a la dirección IP virtual 10.0.1.225, el tráfico destinado a la red 10.0.1.0/24 es enrutado a través del túnel VPN, pero el tráfico destinado a 10.0.2.0 no lo es.

Para obtener más información sobre cómo configurar esta opción, consulte Acceso a Internet a través de un Túnel de Mobile VPN with L2TP.

Cuando habilita Mobile VPN with L2TP, la política Permitir Usuarios de L2TP se crea automáticamente para permitir el tráfico de clientes L2TP hacia recursos internos o externos de red. Si ha deshabilitado o eliminado esta política, los clientes no pueden enviar tráfico hacia redes internas o externas.

Para obtener más información sobre esta política, vea Acerca de Políticas L2TP.

Si sus clientes VPN pueden conectarse con ciertas partes de la red, pero no con otras, o el tráfico falla de otra manera cuando se permite tráfico que muestra mensajes de registro, esto puede indicar un problema de enrutamiento. Confirme que cada uno de estos elementos es verdadero:

• El grupo de direcciones IP virtuales para clientes Mobile VPN with L2TP no se traslapa con ninguna de las direcciones IP asignadas a los usuarios internos de la red.
• El grupo de direcciones IP virtuales no se traslapa ni está en conflicto con otras redes enrutadas o VPN configuradas en el Firebox.
• Si los usuarios de Mobile VPN with L2TP deben acceder a una red enrutada o VPN, los hosts en esa red enrutada o VPN deben tener una ruta válida hacia el grupo de direcciones IP virtuales, o el Firebox debe ser la ruta predeterminada a Internet para dichos hosts.

Para obtener más información sobre cómo configurar un grupo de direcciones IP, consulte Editar la Configuración Mobile VPN with L2TP.