Articles /

Always On VPN IKEv2-Verbindungsfehler Fehlercode 800

Always On VPN Administratoren kann ein Szenario auftreten, in dem Windows 10-Clients nicht in der Lage sind, eine IKEv2-VPN-Verbindung zu einem Windows Server Routing and Remote Access Service (RRAS)-Server oder einem VPN-Gerät eines Drittanbieters unter den folgenden Bedingungen herzustellen.

  1. Die VPN-Verbindung wird mit ProfileXML konfiguriert.
  2. ProfileXML enthält das <CryptographySuite> Element.
  3. Der VPN-Server ist für die Verwendung einer benutzerdefinierten IPSec-Richtlinie konfiguriert.
  4. Der VPN-Server unterstützt nur IKEv2.
  5. Der <NativeProtocolType> in ProfileXML ist auf Automatisch gesetzt.

Wenn diese spezifischen Bedingungen erfüllt sind, kann der Client über IKEv2 keine Verbindung zum VPN-Server herstellen. Die Fehlermeldung lautet:

Die Remoteverbindung wurde nicht hergestellt, da die versuchten VPN-Tunnel fehlgeschlagen sind. Der VPN-Server ist möglicherweise nicht erreichbar. Wenn diese Verbindung versucht, einen L2TP/IPSec-Tunnel zu verwenden, sind die für die IPSec-Aushandlung erforderlichen Sicherheitsparameter möglicherweise nicht ordnungsgemäß konfiguriert.

Immer auf VPN IKEv2 VPN Verbindungsfehler Fehlercode 800

Darüber hinaus enthält das Ereignisprotokoll eine Fehlermeldung von der RasClient-Quelle mit der Ereignis-ID 20227, die die folgende Fehlermeldung enthält.

Der Benutzer hat eine Verbindung gewählt, die fehlgeschlagen ist. Der bei einem Fehler zurückgegebene Fehlercode lautet 800.

Immer auf VPN IKEv2 VPN Verbindungsfehler Fehlercode 800

Eine manuell konfigurierte VPN-Verbindung mit IKEv2 stellt jedoch unter denselben Bedingungen eine erfolgreiche Verbindung her.

IKEv2-Fehlercode 800

Der Fehlercode 800 wird in ERROR_AUTOMATIC_VPN_FAILED übersetzt, was etwas mehrdeutig ist. Die Fehlerbeschreibung lautet:

Die VPN-Verbindung konnte nicht hergestellt werden. Der VPN-Server ist möglicherweise nicht erreichbar oder die Sicherheitsparameter sind für diese Verbindung möglicherweise nicht ordnungsgemäß konfiguriert.

Tiefer graben

Ein Netzwerk-Trace der IKEv2-VPN-Verbindung zeigt die wahre Ursache des Problems, nämlich dass Client und Server nicht erfolgreich eine IKEv2-Sicherheitszuordnung (SA) ausgehandelt haben. Während des SA-Initiierungsprozesses sind die vom Client angebotenen Parameter für den Server nicht akzeptabel, was dazu führt, dass eine NO_PROPOSAL_CHOSEN-Benachrichtigung vom Server zurückgegeben wird.

Immer auf VPN IKEv2 VPN Verbindungsfehler Fehlercode 800

Benutzerdefinierte Kryptografieeinstellungen ignoriert

Es scheint, dass die Always On VPN-Verbindung die benutzerdefinierten Kryptografieeinstellungen ignoriert, die im CryptographySuite-Element in ProfileXML definiert sind. Dies tritt jedoch nur auf, wenn der NativeProtocolType auf Automatic . Vermutlich ist dies ein Fehler. 🙂

Problemumgehung

Setzen Sie NativeProtocolType als Problemumgehung auf IKEv2. Wenn NativeProtocolType auf IKEv2 gesetzt ist, erkennt die VPN-Verbindung die im CryptographySuite-Element definierten IKEv2-Parameter und die VPN-Verbindung wird erfolgreich hergestellt.

Weitere Informationen

Always On VPN IKEv2 Sicherheitskonfiguration

Always On VPN Zertifikatsanforderungen für IKEv2

Always On VPN IKEv2 Load Balancing mit dem KEMP LoadMaster Load Balancer

Leave a Reply