在连接VPN之前,需要先确认公网连接是否正常,首先是能访问公网,然后看是否能PING通VPN服务器。
一、检查公网连接
如果用户在连接网络的时候出现问题,而不知道问题出现在什么地方,建议检查调制解调是否正确工作,再看PPP连接是否正常:
1、 远程用户的调制解调器正确安装以及正常工作,甚至可以用终端程序如超级终端程序来检测其是否正常;
2、 确信远程在INTERNET上已经建立PPP的连接,在建立PPTP连接之前,先看是否可以进行HTTP服务访问其它网站,如果访问成功,那么PPP连接成功。
3、 确认用户调制解调器的类型和设置配置正确,鼠标右键单击拨号网络(Dial-up Network)连接图标查看其属性,
4、 如果远程用户已经连接,但是不能获取资源或服务,需要查看系统的连接信息,"开始"/"运行",用winipcfg(在WINNT系统中用ipconfig),查看PPP连接适配器的信息,确信这些配置ISP厂家支持。
5、 如果远程用户仍然不能查看资源或服务,尤其是企业用宽带上网的情况,可以向当地ISP询问是否支持这种业务。
二、VPN连接常见错误
如果用户连接ISP正常,但是不能建立PPTP或IPSEC的VPN客户段连接,可以从以下几个方面来检查,这里也只是列出了一些错误,仅供参考,如果企业在连接VPN的过程当中遇到什么问题,请把错误提示反馈给运行部.
1、远程服务器不响应
原因:Switch上UDP500端口没有放开,堵塞。
解决:ping Switch的服务地址,如果不能ping通,则不能访问Switch服务器;如果能ping通,则说明可以访问到Switch服务器,只是没有响应。
如果能ping通,则可以用DOS路由命令tracert.exe进一步跟踪分析路由情况。
2、最大连接数
原因:在最大连接数限定以外用户再连接VPN
解决:中国国际电子商务中心的VPN服务政策是一个帐号同时只能一个用户建立连接,如果用户已经登陆一次,然后再用这个这个用户名去登陆,就会出现登陆不上去的情况;还有一种情况是用户刚断开连接然后马上进行VPN连接,也会出现连接不上的现象,因为服务器响应用户需要一定的时间。
3、允许登陆的时间限制
原因:不在允许的时间里进行登陆,用户帐号被限定在特定的时间里面才能访问,
解决:如果用户很多的情况下,规定用户的访问时间是提高用户登陆的有效手段,如果用户在没有授权的时间里访问VPN服务器就会出现不能登陆,目前中心对访问时间还没有进行限制。
4、认证失败
原因:IPSEC用户名错误或密码错误。
解决:确认用户名和密码,目前企业用户为RADIUS用户,可以通过IPSEC和PPTP两种协议进行连接,用IPSEC协议连接的时候必须使用GROUP
ID方式,还没有进行IPSEC用户和PPTP用户区分。
5、安全外网连接丢失
如果通过PPTP或IPSEC进行VPN客户端连接,可能会出现下面的提示: "The physical connection
has been lost"或者"The secure extranet connection has been lost"
原因: 到ISP的PPP连接已经断开。
解决:重新建立PPP的拨号连接,然后再进行VPN连接。
6、在数据传输当中自动断开关闭拨号连接
原因:在WIN95的操作系统当中,微软的自动连接特性
解决:在工作站如果不用通过IE来传输数据,可以是自动断开特性关闭。打开控制面板,在连接属性中不选"如果连接失败则断开"。
7、域名解析错误
当用户可以ping通VPN服务器地址,但是不能ping服务器域名或收到的反馈是域名不能解析,通常是DNS配置错误。
原因:在switch上没有为PPTP或IPSEC配置DNS服务
解决:在客户端需要配置DNS入口,对于WINNT操作系统,用ipconfig/all查看DNS服务是否已经列出;对于WIN95用户,从"开始"菜单上选择"运行":winipcfg,选择Nortel
Networks Extranet Switch Extranet Access Adapter适配器,查看更多信息,目前在VPN服务器switch上已经配置了域名解析。
8、连接VPN以后不能提供服务
原因:对于PPTP和IPSEC连接,switch不支持NETBEUI协议
解决:为了能浏览,客户端需要删除NETBEUI协议和配置WINS服务,删除NETBEUI协议以后,客户端用NETBIOS进行浏览。
9、建立VPN连接以后不能访问WEB服务器
原因:WINS服务没有启动
解决:确定contivity客户端配置了WINS服务
原因:你的系统登陆到另外一个域中而不是远程网络
解决:在启动WIN95的时候不登陆到网络中,选择登陆到远程
对于WINNT4.0、WIN98、WIN95,改变登陆方式,以工作组方式登陆而不是登陆域:
1) 从"开始"/"设置"/"控制面板",在控制面板中,鼠标右键单击"网络",打开网络属性设置面板;
2) 选择"识别"标签,在WIN95系统中可以直接更改,在WINNT系统中先点击"更改"按钮,然后才能进行修改;
3) 改为用工作组方式登陆,计算机的名字不能与远程计算机名字相同,工作组的名字可以任意取;
4) 更改以后重新启动计算机才能生效。
10、为什么用不能访问不同隧道建立的用户
Cause:如果你没有用WINS服务,那么就不能访问通过不同隧道进来的用户,如果你是用IPSEC协议建立的VPN连接,就不能看访问用PPTP建立VPN以后连接到内网的计算机。
Action:用WINS服务访问通过不同隧道进来的用户,当用户建立隧道以后,应该申请WINS服务。
11、客户端可以连接VPN并登陆成功但是不能使用内网的信息
Cause:客户地址分配没有生效
Action:客户端重新登陆
1、 确定路由生效
2、 确定路由协议OSPF和RIP生效
3、 确定有正确的地址
三、各操作系统连接VPN的补丁程序
下面是连接VPN之前,建议先安装下面的补丁程序:
另外在用PPTP建立VPN连接的时候有几个要注意的问题:
WIN2000操作系统
1、 注意NETBEUI和IPX协议
2、 在VPN连接属性当中,不选"数据加密"。
WIN98操作系统
1、 安装VPN适配器(MicroSoft VPN Adapter),重新启动计算机生效;
2、 计算机的登陆方式不要用网络计算机,而选择登陆域。
WIN95操作系统
1、 注意不用NETBEUI和IPX协议;
2、 先后安装msdun.exe、vpnupd.exe补丁程序;
3、 安装VPN适配器(VPN Adapter);
4、 在TCP/IP中不选"Use default gateway on remote network"
如果用户在使用过程当中还遇到其它的问题,可以与运行部联系,以便完善这个文档。