11 lỗi thường gặp của VPN và cách khắc phục
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Tuy nhiên cũng như mạng LAN, VPN đôi khi cũng phát sinh một số lỗi gây khó chịu cho người dùng.
Dưới đây là 10 lỗi thường gặp , kèm theo đó là 10 phương pháp khắc phục giúp người dùng có thể tự giải quyết khi gặp phải những lỗi này.
0. Không kết nối được Internet khi truy cập VPN Server
Vấn đề:
Khi vpn Client truy cap vao Vpn Server thi máy tính Client ko truy cập được Internet nữa.
Cách giải quyết:
Bỏ dấu Check:
Use Default Gateway on Remote Network
1. Không thể cài đặt máy trạm Cisco 3000 VPN khi chạy Internet Connection Sharing
Đây không phải là một lỗi phức tạp. Người dùng chỉ cần tắt bỏ ICS (Internet Connection Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạn cũng nên thay thế ICS bằng một router phù hợp với một hệ thống firewall. Tuy nhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua một máy khác có sử dụng ICS.
Để tắt bỏ ICS, vào menu
Start\ Control Panel\ Administrative Tools\ Services\ Internet Connection Sharing, sau đó hủy chọn tùy chọn
Load On Startup.
Tuy nhiên, sau khi hủy chọn tùy chọn này, chế độ
Welcome Screen và
Fast User Switching trên máy trạm VPN sử dụng Windows XP cũng sẽ bị tắt bỏ. Chế độ
Standby,
Task Manager vẫn hoạt động bình thường, nhưng người dùng sẽ phải nhập tên đăng nhập và mật khẩu vào một hộp thoại thay vì trên màn hình
Welcome Screen.
Chú ý: Chế độ
Fast User Switching có thể được kích hoạt lại bằng cách hủy bỏ tính năng
Start Before Login trên máy trạm. Tuy nhiên nếu kích hoạt lại chế độ này cũng làm phát sinh một số vấn đề, vì vậy nếu không thực sự cần thiết người dùng không nên kích hoạt lại
Fast User Switching.
Một điều nữa liên quan tới việc cài đặt máy trạm đó là Cisco không đề xuất cài đặt nhiều máy trạm VPN trên cùng một máy PC. Nếu bạn đã cài nhiều máy trạm VPN trên PC của mình thì tốt nhất nên gỡ bỏ bớt.
2. Xác định lỗi của Key qua các bản ghi
Nếu gặp phải lỗi trong những bản ghi liên quan tới những key chia sẻ trước đó, bạn có thể đã đánh dấu sai key trên điểm cuối của kết nối VPN. Nếu lỗi này xảy ra, những bản ghi có thể hiển thị quá trình trao đổi giữa máy trạm và máy chủ VPN trong chế độ kết hợp bảo mật chính IKE.
Chỉ một thời gian ngắn sau khi quá trình trao đổi này diễn ra, log sẽ thông báo lỗi của key. Trên
Concentrator, truy cập vào
Configuration\ System\ Tunneling Protocols, sau đó lựa chọn tùy chọn
IPSec LAN-to-LAN và lựa chọn cấu hình
IPSec của bạn. Trong trường
Preshare Key, nhập những key đã chia sẻ.
Trong hệ thống tường lửa
PIX của Cisco được sử dụng cùng với
Concentrator, chạy lệnh
isakmp key password address xx.xx.xx.xx netmask 255.255.255.255, trong đó
password là key được chia sẻ trước đó. Chú ý nhập chính xác những key được sử dụng trong
Concentrator và
PIX.
3. Không thể kết nối VPN khi chạy phần mềm bảo mật
Một vài cổng cần được mở trong phần mềm bảo mật như
BlackIce (BlackIce tồn tại một số vấn đề liên quan tới máy trạm VPN của Cisco),
Zone Alarm,
Symantec và một số chương trình bảo mật Internet khác cho Windows cũng như i
pchains và
iptables của Linux. Nếu người dùng mở những cổng dưới đây trong phần mềm bảo mật, thì họ vẫn có thể kết nối VPN:
- Cổng 500, 1000 và 10000 của UDP
- Cổng TCP được cấu hình cho IPSec/TCP
Có thể bạn đã cấu hình các cổng cho
IPSec/UDP và
IPSec/TCP. Bạn cần phải mở những cổng đã cấu hình này trên phần mềm máy trạm.
4. Không thể truy cập tài nguyên trên mạng chủ khi kết nối VPN
Lỗi này thường xảy ra khi
Split-tunneling bị tắt bỏ.
Split-tunneling có thể gây ra một số nguy cơ bảo mật, nhưng những nguy cơ này có thể được hạn chế ở một mức độ nào đó bằng việc sử dụng những chính sách bảo mật một cách hợp lý, và những nguy cơ này có thể tự động được phát tán sang các máy trạm khác trong mạng (ví dụ, một chính sách có thể yêu cầu cài đặt chương trình diệt virus hiện tại hay yêu cầu bật firewall trên hệ thống). Trên
PIX, sử dụng lệnh dưới đây để chạy lại
Split-tunneling:
vpngroup vpngroupname split-tunnel split_tunnel_acl
Bạn cần dùng lệnh
access-list phù hợp để cho phép những địa chỉ IP truy cập qua tunnel mã hóa và những địa chỉ được cho phép truy cập qua những tunnel không được mã hóa. Ví dụ, dùng lệnh
access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any để cho phép địa chỉ IP truy cập vào cả tunnel mã hóa và tunnel không mã hóa.
Trong
Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần được hệ thống mạng đưa vào tunnel mã hóa. Vào
Configuration\ User Management\ Base Group, trong tab
Client Config lựa chọn tùy chọn
Only Tunnel Networks In The List và tạo một danh sách tất cả các mạng cần được VPN theo dõi tại trang của bạn và lựa chọn danh sách mạng này từ hộp
Split Tunneling Network List.
5. Xung đột địa chỉ IP
Đây là lỗi đặc trưng của những hệ điều hành đặc biệt này, và có thể gây nhiều khó khăn khi gỡ rối. Phiên bản 4.6 cho máy trạm VPN của Cisco đã cố gắng khắc phục những địa chỉ IP xung đột này, nhưng không phải lúc nào nó cũng làm được như vậy. Sự xung đột IP này sẽ cản trở việc truyền lưu lượng qua tunnel của VPN.
Để xử lý lỗi này bạn thực hiện các thao tác sau: Vào menu S
tart\ Control Panel\ Network And Dialup Connections\ Local Adapter, sau đó phải chuột lên
Adapter chọn Properties. Trong hộp thoại
Properties, chọn
TCP/IP và click nút
Properties. Click vào tùy chọn
Advanced, tìm tùy chọn
Interface Metric, và đặt trị số trong hộp là 1. Trị số này thông báo cho máy tính sử dụng
Adapter cục bộ thứ hai. Adapter của VPN có thể sẽ có trị số sinh trắc là 1 (thấp hơn trị số sinh trắc mới), đặt nó là lựa chon đầu tiên như một đích lưu lượng.
6. Lỗi firmware của router trên máy trạm VPN
Máy trạm VPN của Cisco gặp phải một số vấn đề với một số phiên bản firmware của router cũ (thậm chí cả với router mới). Nếu liên tục gặp phải những vấn đề kết nối, bạn nên cập nhật firmware trong router, đặc biệt với những router cũ. Máy trạm Cisco thường gặp phải những lỗi này khi sử dụng những loại router sau:
- Linksys BEFW11S4 với firmware thấp hơn 1.44.
- Asante FR3004 Cable/DSL Routers với firmware thấp hơn 2.15.
- Nexland Cable/DSL Routers mẫu ISB2LAN.7. Không thể thực hiện kết nối trên máy trạm.
Trong tình huống này, người dùng sẽ thấy một thông báo lỗi như sau:
VPN Connection terminated locally by the Client. Reason 403:
Unable to contact the security gateway.
Lỗi này có thể do 2 trong số 3 lỗi sau gây ra:
- Người dùng có thể đã nhập sai mật khẩu nhóm.
- Người dùng có thể không nhập đúng tên hay địa chỉ IP cho điểm cuối VPN từ xa.
- Người dùng có thể đang gặp phải những vấn đề kết nối Internet.
Cơ bản, vì một số lí do nào đó
IKE đã không hoạt động. Kiểm tra những bản ghi của máy trạm (được kích hoạt bằng cách vào
Log\ Enable) để tìm lỗi trong
Hash Verification Failed để khắc phục chúng.
8. Lỗi thiết lập kết nối VPN từ thiết bị NAT
Sự cố này có thể xảy ra trên tất cả phần cứng VPN của Cisco khi
IPSec được kích hoạt khi cài đặt những tiêu chuẩn cho phép thay đổi tiêu đề gói tin trong khi truyền.
Nếu đang sử dụng hệ thống firewall PIX cho hệ thống firewall trên máy tính và điểm cuối VPN. Mở cổng
4500 và kích hoạt
NAT-Traversal trong cấu hình bằng lệnh
isakmp nat-traversal 20, trong đó
20 là thời gian hoạt động của
NAT. Nếu có một hệ thống firewall riêng và một Cisco VPN Concentrator, bạn chỉ cần mở
UDP cổng
4500 trên hệ thống firewall với đích của
Concentrator. Sau đó, trên
Concentrator vào
Configuration\ Tunneling And Security\ IPSec\ NAT Transparency và đánh dấu tùy chọn
IPSec Over NAT-T. Ngoài ra, cần đảm bảo mọi máy trạm đang sử dụng phải được hỗ trợ
NAT-T.
9. Kết nối không thông suốt
Để khắc phục lỗi này trước hết bạn cần tắt bỏ chế độ
Standby,
Hibernate và
ScreenSaver.
Standby và
Hibernate có thể ngắt kết nối mạng khi máy trạm VPN đợi một liên kết cố định tới máy chủ VPN. Người dùng cũng có thể đã cấu hình máy của họ hẹn giờ tắt Adapter mạng sau một khoảng thời gian nhất định để tiết kiệm điện năng.
Nếu đang sử dụng wifi, người dùng có thể đã đang truy cập với tín hiệu wifi kém, và hậu quả là VPN có thể bị ngắt kết nối. Ngoài ra, người dùng cũng gặp phải vấn đề về đường mạng, router hay kết nối Internet, và nhiều lỗi vật lý khác.
Cũng có thể xảy ra trường hợp những địa chỉ IP trong một điểm cuối của VPN (
PIX hay
Concentrator 3000) đã được sử dụng hết cũng có thể gây ra lỗi này trên máy trạm.
10. Máy trạm vẫn hiện trong mạng VPN khi đã hủy kết nối
Một số lỗi khác có thể bao gồm một máy tính nào đó trong mạng của người dùng không thể ping máy VPN dù máy tính này vẫn thấy tất cả các máy khác trong mạng. Lỗi này xảy ra là do người dùng có thể đã kích hoạt hệ thống firewall tích hợp trong máy trạm VPN. Sau khi được kích hoạt hệ thống firewall này sẽ luôn chạy ngay cả khi tắt máy trạm. Để khắc phục lỗi này, trước tiên truy cập vào máy trạm, từ trang tùy chọn, hủy chọn những hộp chọn kế tiếp tùy chọn
Stateful Firewall.