Dépanner Mobile VPN with L2TP

Cette rubrique décrit les types de problèmes habituels que vous pouvez rencontrer avec Mobile VPN with L2TP ainsi que leurs solutions les plus courantes. Même après que le client VPN soit connecté, le trafic client peut ne pas réussir à se connecter à certaines ressources réseau en raison de problèmes de configuration de stratégie ou de réseau.

Problèmes d'Installation

Pour obtenir des informations concernant les systèmes d'exploitation compatibles avec chaque type de Mobile VPN, consultez la liste de Compatibilité des Systèmes d'Exploitation des Notes de Publication Fireware. Vous trouverez les Notes de Publication de la version de votre système d'exploitation Fireware OS à la page Notes de Publication Fireware du site Web de WatchGuard.

Problèmes de Connexion

Vérifiez que l'utilisateur est membre du groupe Utilisateurs-L2TP sur le serveur d'authentification. Dans certaines versions des systèmes d'exploitation, les utilisateurs L2TP peuvent se connecter même s'ils appartiennent au mauvais groupe. Si vous utilisez RADIUS pour l'authentification des utilisateurs, le serveur RADIUS doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.

Pour plus d'informations sur l'authentification des utilisateurs dans Mobile VPN with L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.

Vérifiez que l'utilisateur est membre du groupe Utilisateurs-L2TP sur le serveur d'authentification. Si l'utilisateur n'appartient pas au bon groupe, la fenêtre de connexion renverra certainement le code d'erreur 691. Lorsque ce type d'erreur survient, le fichier journal du Firebox inclut ce type de message :

2014-08-14 13:01:44 admd Authentication of L2TPVPN user [johndoe@Firebox-DB] from 198.51.100.2 rejected, user isn't in the right group id="1100-0005" Event

Si vous utilisez RADIUS pour authentifier ces utilisateurs, le serveur RADIUS doit renvoyer l'appartenance au groupe en tant qu'attribut Filter-ID.

Pour plus d'informations sur l'authentification des utilisateurs dans Mobile VPN with L2TP, consultez À propos de l'Authentification des Utilisateurs Mobile VPN with L2TP.

Problèmes Après la Connexion

Si le client VPN peut se connecter à une ressource réseau par son adresse IP mais pas par son nom, le périphérique client ne dispose pas des informations WINS et DNS correctes pour votre réseau.

Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez sélectionner les options suivantes dans la configuration Mobile VPN with L2TP :

  • Assigner ou non les serveurs DNS Réseau (globaux) aux clients mobiles
  • Assigner les serveurs DNS spécifiés dans la configuration Mobile VPN aux clients mobiles

Dans Fireware v12.2 et les versions antérieures, votre Firebox fournit automatiquement aux périphériques clients les adresses IP des serveurs DNS configurées dans les paramètres WINS/DNS Réseau (globaux) de votre périphérique.

Pour plus d'informations sur la configuration des adresses IP DNS et WINS dans Fireware Web UI, consultez Configurer les Serveurs DNS et WINS pour Mobile VPN with L2TP.

Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client.

Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour transformer un nom en adresse IP. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter au client Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.

Pour corriger le problème, vous devez spécifier le suffixe DNS utilisé par votre ordinateur pour résoudre les noms d'hôte lorsqu'il est connecté au VPN. Pour de plus amples informations, consultez la section Configurer les paramètres DNS des clients VPN L2TP de la Base de Connaissances WatchGuard.

Le routage L2TP est défini par l'ordinateur client. Sur un client Windows, si vous ne cochez pas la case Utiliser la passerelle par défaut sur le réseau distant, l'ordinateur client dirige le trafic vers le tunnel VPN uniquement si la destination est le sous-réseau /24 de l'adresse IP virtuelle attribuée à l'ordinateur client. Par exemple, si le client reçoit comme adresse IP virtuelle 10.0.1.225, le trafic destiné au réseau 10.0.1.0/24 est dirigé à travers le tunnel VPN, mais le trafic destiné à 10.0.2.0 ne l'est pas.

Pour plus d'informations sur la configuration de cette option, consultez Accès à Internet Via un Tunnel Mobile VPN with L2TP.

Si vous activez Mobile VPN with L2TP, la stratégie Allow-L2TP-Users est automatiquement créée pour permettre le trafic entre les clients L2TP et les ressources réseau internes ou externes. Si vous avez désactivé ou supprimé cette stratégie, les clients ne pourront pas envoyer de données sur les réseaux internes et externes.

Pour plus d'informations sur cette stratégie, consultez À propos des Stratégies de L2TP.

Si vos clients VPN peuvent se connecter à certaines parties du réseau mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :

  • Le pool d'adresses IP virtuelles des clients Mobile VPN with L2TP ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
  • Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
  • Si les utilisateurs Mobile VPN with L2TP doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.

Pour plus d'informations sur la configuration du pool d'adresses IP, consultez Modifier la Configuration Mobile VPN with L2TP.

Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.

Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.