alltid på VPN IKEv2 anslutningsfel felkod 800
alltid på VPN-administratörer kan stöta på ett scenario där Windows 10-klienter inte kan upprätta en IKEv2 VPN-anslutning till en Windows Server Routing and Remote Access Service (rras) – server eller en VPN-enhet från tredje part under följande förhållanden.
- VPN-anslutningen konfigureras med ProfileXML.
- ProfileXML innehåller elementet< CryptographySuite >.
- VPN-servern är konfigurerad för att använda en anpassad IPsec-policy.
- VPN-servern stöder endast IKEv2.
- <NativeProtocolType> i ProfileXML är inställd på automatisk.
när dessa specifika villkor är uppfyllda kan klienten inte ansluta till VPN-servern med IKEv2. Felmeddelandet anger:
fjärranslutningen gjordes inte eftersom försök till VPN-tunnlar misslyckades. VPN-servern kan vara oåtkomlig. Om den här anslutningen försöker använda en L2TP / IPsec-tunnel kanske de säkerhetsparametrar som krävs för IPsec-förhandlingar inte konfigureras korrekt.
dessutom kommer händelseloggen att innehålla ett felmeddelande från RasClient-källan med Händelse-ID 20227 som innehåller följande felmeddelande.
användaren ringde en anslutning som heter som har misslyckats. Felkoden som returneras vid fel är 800.
en manuellt konfigurerad VPN-anslutning med IKEv2 kommer dock att anslutas framgångsrikt under samma förhållanden.
IKEv2 felkod 800
felkod 800 översätts till ERROR_AUTOMATIC_VPN_FAILED, vilket är något tvetydigt. Felbeskrivningen är:
Det går inte att upprätta VPN-anslutningen. VPN-servern kan vara oåtkomlig, eller säkerhetsparametrar kan inte konfigureras korrekt för den här anslutningen.
gräva djupare
ett nätverksspår av IKEv2 VPN-anslutningen avslöjar den verkliga källan till problemet, vilket är ett misslyckande för klienten och servern att framgångsrikt förhandla om en IKEv2 security association (SA). Under sa-initieringsprocessen är parametrarna som erbjuds av klienten oacceptabla för servern, vilket resulterar i att ett NO_PROPOSAL_CHOSEN-meddelande returneras av servern.
anpassade Kryptografiinställningar ignoreras
det verkar som om alltid på VPN-anslutningen ignorerar de anpassade kryptografiinställningarna som definierats i CryptographySuite-elementet i ProfileXML. Detta sker emellertid endast när NativeProtocolType är inställd på automatisk. Förmodligen är detta en bugg.
lösning
som en lösning, Ställ in Nativeprotocoltype till IKEv2. När Nativeprotocoltype är inställd på IKEv2, känner VPN-anslutningen igen IKEv2-parametrarna som definierats i CryptographySuite-elementet och VPN-anslutningen kommer att upprättas framgångsrikt.
ytterligare Information
alltid på VPN IKEv2 säkerhetskonfiguration
alltid på VPN-Certifikatkrav för IKEv2
alltid på VPN IKEv2 lastbalansering med KEMP LoadMaster lastbalanserare
Leave a Reply