Always On VPN IKEv2 Connection Failure foutcode 800
Always On VPN beheerders kunnen een scenario tegenkomen waarin Windows 10-clients niet in staat zijn om een IKEv2 VPN-verbinding tot stand te brengen met een Windows Server Routing and Remote Access Service (RRAS) – server of een VPN-apparaat van derden onder de volgende voorwaarden.
- de VPN-verbinding wordt geconfigureerd met ProfileXML.
- ProfileXML bevat het element <CryptographySuite>.
- de VPN-server is geconfigureerd om een aangepast IPsec-beleid te gebruiken.
- de VPN-server ondersteunt alleen IKEv2.
- het <NativeProtocolType> in ProfileXML is ingesteld op Automatisch.
als aan deze specifieke voorwaarden is voldaan, kan de client geen verbinding maken met de VPN-server met behulp van IKEv2. De foutmelding luidt:
de externe verbinding is niet gemaakt omdat de poging tot VPN-tunnels is mislukt. De VPN-server kan onbereikbaar zijn. Als deze verbinding probeert een L2TP/IPsec-tunnel te gebruiken, zijn de beveiligingsparameters die vereist zijn voor IPsec-onderhandelingen mogelijk niet correct geconfigureerd.
bovendien bevat het gebeurtenislogboek een foutmelding van de RasClient-bron met event-ID 20227, met de volgende foutmelding.
de gebruiker belde een verbinding met de naam die is mislukt. De foutcode die wordt geretourneerd bij een fout is 800.
een handmatig geconfigureerde VPN-verbinding met behulp van IKEv2 zal echter onder dezelfde voorwaarden succesvol verbinding maken.
IKEv2 foutcode 800
foutcode 800 vertaalt zich naar ERROR_AUTOMATIC_VPN_FAILED, wat enigszins dubbelzinnig is. De foutbeschrijving is:
kan de VPN-verbinding niet tot stand brengen. De VPN-server kan onbereikbaar zijn of beveiligingsparameters zijn mogelijk niet goed geconfigureerd voor deze verbinding.
dieper graven
een netwerkspoor van de IKEv2 VPN-verbinding onthult de ware bron van het probleem, namelijk het falen van de client en server om succesvol te onderhandelen over een IKEv2 security association (SA). Tijdens het Sa-initiatieproces zijn de parameters die door de client worden aangeboden onaanvaardbaar voor de server, wat resulteert in een no_proposal_chosen-melding die door de server wordt geretourneerd.
aangepaste cryptografie-Instellingen genegeerd
het lijkt erop dat de Always On VPN-verbinding de aangepaste cryptografie-instellingen negeert die zijn gedefinieerd in het cryptographysuite-element in ProfileXML. Dit gebeurt echter alleen wanneer het NativeProtocolType is ingesteld op Automatisch. Vermoedelijk is dit een insect. 🙂
tijdelijke oplossing
stel als tijdelijke oplossing het NativeProtocolType in op IKEv2. Wanneer NativeProtocolType is ingesteld op IKEv2, herkent de VPN-verbinding de IKEv2-parameters die zijn gedefinieerd in het cryptographysuite-element en wordt de VPN-verbinding met succes tot stand gebracht.
aanvullende informatie
Always On VPN IKEv2 Security Configuration
Always On VPN Certificate Requirements for IKEv2
Always On VPN IKEv2 Load Balancing with the KEMP LoadMaster Load Balancer
Leave a Reply