vždy na VPN IKEv2 Kód chyby selhání připojení 800
vždy na VPN administrátoři se mohou setkat se scénářem, ve kterém klienti systému Windows 10 nemohou navázat připojení IKEv2 VPN k serveru Routing and Remote Access Service (RRAS) systému Windows Server nebo zařízení VPN třetí strany za následujících podmínek.
- připojení VPN je konfigurováno pomocí ProfileXML.
- ProfileXML obsahuje prvek <CryptographySuite>.
- server VPN je nakonfigurován tak, aby používal vlastní zásady IPsec.
- VPN server podporuje pouze IKEv2.
- <NativeProtocolType> v ProfileXML je nastaven na Automatický.
pokud jsou splněny tyto specifické podmínky, klient se nebude moci připojit k serveru VPN pomocí IKEv2. Chybová zpráva uvádí:
vzdálené připojení nebylo provedeno, protože pokus o tunely VPN selhal. Server VPN může být nedostupný. Pokud se toto připojení pokouší použít tunel L2TP / IPsec, nemusí být bezpečnostní parametry potřebné pro vyjednávání IPsec správně nakonfigurovány.
kromě toho bude protokol událostí obsahovat chybovou zprávu ze zdroje RasClient s ID události 20227, která obsahuje následující chybovou zprávu.
uživatel vytočil spojení s názvem, které selhalo. Chybový kód vrácený při selhání je 800.
ručně nakonfigurované připojení VPN pomocí IKEv2 se však za stejných podmínek úspěšně připojí.
Kód chyby IKEv2 800
Kód chyby 800 se převádí na ERROR_AUTOMATIC_VPN_FAILED, což je poněkud nejednoznačné. Popis chyby je:
nelze navázat připojení VPN. Server VPN může být nedostupný nebo bezpečnostní parametry nemusí být pro toto připojení správně nakonfigurovány.
kopání hlouběji
síťová stopa připojení IKEv2 VPN odhaluje skutečný zdroj problému, kterým je selhání klienta a serveru úspěšně vyjednat bezpečnostní asociaci IKEv2 (SA). Během procesu iniciace SA jsou parametry nabízené klientem pro server nepřijatelné, což má za následek vrácení oznámení NO_PROPOSAL_CHOSEN serverem.
vlastní nastavení kryptografie ignorováno
zdá se, že připojení Always On VPN ignoruje vlastní nastavení kryptografie definované v prvku CryptographySuite v ProfileXML. K tomu však dochází pouze tehdy, když je NativeProtocolType nastaven na Automatický. Pravděpodobně je to chyba. 🙂
řešení
jako řešení nastavte NativeProtocolType na IKEv2. Když je NativeProtocolType nastaven na IKEv2, připojení VPN rozpozná parametry IKEv2 definované v prvku CryptographySuite a připojení VPN bude úspěšně navázáno.
další informace
vždy v konfiguraci zabezpečení VPN IKEv2
vždy v požadavcích na certifikát VPN pro IKEv2
vždy v režimu VPN IKEv2 Load Balancing with the KEMP LoadMaster Load Balancer
Leave a Reply