vpn客户端故障排查FQA2003讲述.doc

一、可以正常连接，但应用无法 Vpn客户端如果正常连接但无法访问应用（我们默认vpn网关设置好了正确的访问控制规则），这时候应该检查vpn客户端隧道的网络设置，见下图： 默认所有的流量都走vpn，如设置对端子网，则目标地址为设置的子网才会走vpn  二、无法连接 V连接不上，需要错误代码来判断，但有时候错误信息闪现时间短，看不清楚，这时候需要打开客户端的日志记录功能不启用日志记录功能）根据日志辅助判断故障。设置见下图 设置完成之后再“”标签项就可以查看错误日志日志里面有错误代码显示： 产生原因可能有两种情况，一是网络确实不可达，比如说网络不通或者在客户端填写的 服务器地址有误。 2、VPN 错误 678，出现此报错一般只有一个可能，就是网络确实不可达，看看客户端所在 的网络能否上网， 或者是否允许 UDP500 和 UDP4500 协议通过，VPN 网关设备上应该是无法受到客户端发出的数据包。 3、VPN 错误 87，一般是在vpn协商了问题，vpn网关接收到了协商请求并发送了回应，但客户端对vpn的请求发送回应，这种情况的原因多数为了基于地址池的，网地址不停的变化，在协商的时候网络公网地址了，导致完成vpn协商。解决为：更改客户端网络， 将客户端或客户端IP固定NAT到一个公网地址上。 现用户名密码确实没输入错误， 还是会报错， 这个时候应该检查一下， 是不是安装了同一套证书的两张或者两张以上的个人证书， 一般一个客户端只能安装一张个人证书， 安装两张以上会有这个错误提示，需要删除一张。 排除方法是windows控制台查看。详细： 运行-输入“mmc”windows控制台： 单元： 菜单栏控制单元： 的管理单元中的证书项 添加 控制台就可以查看系统的证书了 首先查看证书根节点--证书里面，如果有多张，需要删除其他的个人证书（先确认可删除）windows的vpn客户只支持一张个人证书，如果系统里有多张个人证书，很有可能选错。 一是拨号用户太多导致 VPN 地址池里的地址不够用； 二是 VPN 网关的 bug,需要打上地址池 被错误占满的 patch NHE0202420110811（针对 200300 版本） 6、错误错误 781（或者 786、810） ，一般是证书无效或者找不到证书引起。 检查方法： （1） 确定电脑的系统时间，看看是否是在证书的有效日期范围内。 （2） 检查一下在东软 VPN 客户端导入 CA 证书是是否标记成“CA”证书，个人证 书是否标记为“个人”证书，不能混淆。 使用如问题4中提供的方法，在控制台查看“的根证书颁发机构”是否有导入的CA证书 示“key 已接入” ，如果是提示“无法识别硬件”可能是驱动没装好，如果完全没有 反应，那么可能是 key 或者电脑硬件问题，换一台电脑可以排除一下是不是电脑的 USB 接口的问题。 7、错误 786，一般是系统的 IPSEC 服务没有启用，运行”“services.msc”然后在服务中启用 “IPSEC services”即可 8、错误 789，一般是证书问题，原因可能是系统软件阻止证书的运行（检查windows主机防火墙看是否） 毒破坏， 如果是使用 U-Key,有可能是 U-Key 被锁定了； 或者 VPN 网关与客户端使用的不是同一套证书。 9、 错误 791，一般是 VPN 网关中所配置的 VPN 用户信息与客户端上的个人证书信息不一致，一般是主题信息不一致。 10、错误 619，系统默认的vpn连接方式被更改，但出现此错误则说明默认的vpn方式被更改为证书认证）而且隧道连接方式被改成了L2TP。的vpn采用的是使用证书认证方式为windows默认的vpn连接方式）所以一般新装系统不会出现此问题 解决方法注册表，或者重装一个完整安装版的系统系统有时候也会出现此问题） 修改注册表方法如下： -运行-输入” 点击确定注册表编辑器 2）找到下面的注册表子项，然后单击它： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 3)在“编辑”菜单上，单击“添加值”。 4)在“值名称”框中，键入 ProhibitIpSec。 5)在“数据类型”列表中，单击“REG_DWORD”，然后单击“确定”。（不管是系统还是系统这里都是REG_DWORD“，因为vpn客户端是程序系统也是可以兼容运行程序的） 7)退出注册表编辑器，然后重新启动计算机