Dépanner Mobile VPN with IPSec

Si vous sélectionnez Activation En Ligne dans le client Mobile VPN IPSec WatchGuard et que l'activation échoue, l'un des messages d'erreur suivant peut s'afficher :

Erreur d'activation du logiciel. Numéro de l'erreur : 10103-1. Une erreur s'est produite lors de l'activation du logiciel. Le nombre maximal d'activations a été dépassé.

Cette erreur peut se produire si la clé de licence est utilisée sur un autre système. Si vous avez désinstallé le client de cet autre système, contactez le Service Clientèle de WatchGuard en fournissant les informations suivantes :

• Le numéro de série et les informations de licence de votre e-mail de confirmation
• Captures d'écran de l'assistant activation wizard accompagnées du numéro de série et de la licence renseignées ainsi que du message d'erreur

Clé de licence ou numéro de série invalide

Cette erreur peut se produire dans les situations suivantes :

• Vous avez installé le Client IPsec à partir de NCP et non du Client WatchGuard Mobile VPN with IPSec. Les clés de licence du client de marque WatchGuard ne fonctionnent en cas d'activation du client à partir de NCP.
• Vous avez tenté d'activer le produit avec un numéro de série incorrect tel que le numéro de série de votre Firebox. Assurez-vous d'utiliser le numéro de série du client Mobile VPN IPSec que vous avez reçu dans l'e-mail de confirmation.

Si l'ordinateur de l'utilisateur passe en veille tandis qu'il est connecté au VPN et que la liaison VPN s'interrompt, le client VPN affiche parfois un message d'erreur si l'utilisateur tente de se reconnecter. À l'issue d'un certain laps de temps, l'utilisateur peut se reconnecter.

Ce problème peut être causé par un manque temporaire d'adresses IP disponibles dans le pool d'adresses de Mobile VPN with IPSec. Pour éviter ce problème, ajoutez d'autres adresses IP au pool d'adresses de Mobile VPN with IPSec. Pour de plus amples informations concernant la configuration d'un pool d'adresses, consultez la section Configurer le Firebox pour Mobile VPN with IPSec.

Si le client VPN peut se connecter à une ressource réseau par son adresse IP mais pas par son nom, le périphérique client ne dispose pas des informations DNS et WINS correctes de votre réseau.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez sélectionner les options suivantes dans la configuration Mobile VPN with IPSec :

• Assigner ou non les paramètres DNS/WINS Réseau (globaux) aux clients mobiles
• Assigner les paramètres du nom de domaine, du serveur DNS et du serveur WINS spécifiés dans la configuration Mobile VPN aux clients mobiles

Dans Fireware v12.2 et les versions antérieures, votre Firebox fournit automatiquement aux périphériques clients les adresses IP des serveurs WINS et DNS configurées dans les paramètres WINS/DNS Réseau (globaux) de votre périphérique.

Pour de plus amples informations concernant la configuration des adresses IP DNS et WINS, consultez Configurer le Firebox pour Mobile VPN with IPSec.

Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez opter pour :

• Assigner ou non les paramètres DNS/WINS Réseau (globaux) aux clients mobiles
• Assigner les paramètres du nom de domaine, du serveur DNS et du serveur WINS spécifiés dans la configuration Mobile VPN aux clients mobiles

Dans Fireware v12.2 et les versions antérieures, lorsque vous utilisez Mobile VPN with IPSec avec un client pris en charge, le Firebox assigne au client VPN les paramètres DNS configurés pour le Firebox. Mais il n'assigne pas le suffixe DNS.

Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour trouver une adresse. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter à leurs clients Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.

Pour résoudre ce problème, vous pouvez ajouter le suffixe DNS dans la configuration du client Mobile VPN. Pour plus d'informations, consultez ces articles dans la base de connaissances WatchGuard :

Configurer le DNS du client WatchGuard IPSec Mobile VPN

Configurez les paramètres DNS pour les connexions VPN à partir d'un périphérique Android

Sur le serveur d'authentification utilisé pour le Mobile VPN, vérifiez que l'utilisateur est membre d'un groupe qui correspond exactement au nom de profil du groupe Mobile VPN with IPSec. Par exemple, si le nom de profil du groupe Mobile VPN with IPSec est ipsec-users et qu'il est configuré pour utiliser un domaine Active Directory, vous devez vous assurer que chaque utilisateur mobile VPN est membre du groupe ipsec-users sur le serveur Active Directory. Assurez-vous que le nom de groupe Active Directory et sa casse correspondent exactement au nom de groupe Mobile VPN with IPSec.

Pour l'authentification RADIUS, SecurID et VASCO, le serveur d'authentification doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.

Pour plus d'informations sur l'appartenance au groupe Mobile VPN with IPSec, consultez Configurer le Serveur d'Authentification externe.

Lorsque vous créez la première fois un profil Mobile VPN with IPSec, une stratégie est automatiquement créée, permettant le trafic sur tous les ports et protocoles de tous les réseaux définis dans la section Ressources Autorisées de la configuration Mobile VPN. Si par la suite, vous modifiez les Ressources Autorisées du profil Mobile VPN with IPSec, vous devez aussi modifier les Ressources Autorisées de la stratégie Mobile VPN with IPSec pour correspondre aux adresses réseau du profil Mobile VPN with IPSec mis à jour.

Pour plus d'informations sur la modification de la stratégie, consultez Configurer les Stratégies pour Filtrer le Trafic IPSec Mobile VPN.

Si vos clients VPN peuvent se connecter à certaines parties du réseau, mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :

• Le pool d'adresses IP virtuelles des clients Mobile VPN with IPSec ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
• Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
• Si les utilisateurs Mobile VPN with IPSec doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.

Pour plus d'informations sur la configuration d'un pool d'adresses IP virtuelles, consultez Modifier un Profil de Groupe Mobile VPN with IPSec existant.

Le client VPN NCP force le renouvellement des clés après un délai égal à 70 % du délai d'expiration. Cependant, le Firebox ne prend pas en charge les renouvellements de clés de Phase 1 et le tunnel se déconnecte. Si vous configurez le client VPN pour enregistrer les informations d'identification de l'utilisateur et se reconnecter automatiquement, un nouveau tunnel est automatiquement établi suite à la déconnexion.

Pour augmenter les valeurs de délai d'expiration dans la configuration de Mobile VPN with IPSec du Firebox :

• Dans l'onglet Général, augmentez les Délais d'expiration.
• Dans l'onglet Tunnel IPSec, dans les paramètres Avancés de Phase 1 et 2, augmentez les valeurs d'expiration des clés et du délai d'expiration.