Échec de la connexion VPN IKEv2 Toujours activé Code d’erreur 800

Les administrateurs VPN toujours activés peuvent rencontrer un scénario dans lequel les clients Windows 10 ne peuvent pas établir une connexion VPN IKEv2 à un serveur de service de routage et d’accès à distance (RRAS) Windows Server ou à un périphérique VPN tiers dans les conditions suivantes.

  1. La connexion VPN est configurée à l’aide de ProfileXML.
  2. ProfileXML inclut l’élément < CryptographySuite >.
  3. Le serveur VPN est configuré pour utiliser une stratégie IPSec personnalisée.
  4. Le serveur VPN ne prend en charge que IKEv2.
  5. Le <NativeProtocolType > dans ProfileXML est défini sur Automatique.

Lorsque ces conditions spécifiques sont remplies, le client ne pourra pas se connecter au serveur VPN à l’aide d’IKEv2. Le message d’erreur indique :

La connexion distante n’a pas été établie car les tunnels VPN tentés ont échoué. Le serveur VPN peut être inaccessible. Si cette connexion tente d’utiliser un tunnel L2TP/IPSec, les paramètres de sécurité requis pour la négociation IPSec peuvent ne pas être configurés correctement.

 Toujours Sur le Code d'erreur d'échec de connexion VPN IKEv2 VPN 800

De plus, le journal des événements inclura un message d’erreur de la source RasClient avec l’ID d’événement 20227 qui inclut le message d’erreur suivant.

L’utilisateur a composé une connexion nommée qui a échoué. Le code d’erreur renvoyé en cas d’échec est 800.

 Toujours Sur le Code d'erreur d'échec de connexion VPN IKEv2 VPN 800

Cependant, une connexion VPN configurée manuellement à l’aide d’IKEv2 se connectera avec succès dans ces mêmes conditions.

Code d’erreur IKEv2 800

Le code d’erreur 800 se traduit par ERROR_AUTOMATIC_VPN_FAILED, ce qui est quelque peu ambigu. La description de l’erreur est la suivante :

Impossible d’établir la connexion VPN. Le serveur VPN peut être inaccessible ou les paramètres de sécurité peuvent ne pas être configurés correctement pour cette connexion.

Approfondir

Une trace réseau de la connexion VPN IKEv2 révèle la véritable source du problème, qui est un échec du client et du serveur à négocier avec succès une association de sécurité IKEv2 (SA). Lors du processus d’initiation de SA, les paramètres proposés par le client sont inacceptables pour le serveur, ce qui entraîne une notification NO_PROPOSAL_CHOSEN renvoyée par le serveur.

 Toujours Sur le Code d'erreur d'échec de connexion VPN IKEv2 VPN 800

Paramètres de cryptographie personnalisés ignorés

Il semble que la connexion VPN toujours active ignore les paramètres de cryptographie personnalisés définis dans l’élément CryptographySuite de ProfileXML. Cependant, cela ne se produit que lorsque NativeProtocolType est défini sur Automatique. Vraisemblablement, c’est un bug. 🙂

Solution de contournement

Pour contourner le problème, définissez NativeProtocolType sur IKEv2. Lorsque NativeProtocolType est défini sur IKEv2, la connexion VPN reconnaît les paramètres IKEv2 définis dans l’élément CryptographySuite et la connexion VPN sera établie avec succès.

Informations supplémentaires

Configuration de sécurité Toujours Active VPN IKEv2

Exigences de certificat Toujours Active VPN pour IKEv2

Équilibrage de charge Toujours actif VPN IKEv2 avec l’Équilibreur de charge KEMP LoadMaster

Leave a Reply