Pemecahan masalah VPN

Ikhtisar Pemecahan Masalah Layanan VPN

Pemecahan masalah VPN biasanya mencakup pemecahan masalah pengaturan konfigurasi berikut, atau aspek strategi akses jarak jauh Anda:

  • konektivitas IP.
  • Menyiapkan koneksi akses jarak jauh
  • IPSec
  • perutean IP

Untuk membuat koneksi VPN, ada beberapa persyaratan yang harus dipenuhi:

  • Layanan VPN harus diaktifkan di server.
  • Perangkat lunak klien VPN harus diinstal pada klien VPN. Klien VPN menggunakan Internet, tunneling, dan protokol TCP/IP untuk membuat koneksi ke jaringan
  • Server dan klien harus berada di jaringan yang sama.
  • Infrastruktur Kunci Publik (PKI)
  • Server VPN dan klien VPN harus menggunakan yang sama:
    • Protokol tunneling
    • Metode otentikasi
    • Metode enkripsi.
  • akuntansi terpusat

Beberapa unsur dasar yang sangat sederhana yang harus diperiksa sebelum Anda memulai pendekatan pemecahan masalah lebih lanjut tercantum di bawah ini:

  • Pastikan bahwa Layanan Perutean dan Akses Jarak Jauh (RRAS) diaktifkan dan dikonfigurasi di server VPN.
  • Periksa apakah server VPN dikonfigurasi untuk mengizinkan akses jarak jauh. Akses kotak dialog Properti dari server akses jarak jauh, dan pada tab Umum, periksa apakah server dikonfigurasi untuk mengaktifkan akses jarak jauh.
  • Periksa apakah server VPN dikonfigurasi untuk mengizinkan lalu lintas VPN.
  • Verifikasi bahwa protokol VPN yang benar diaktifkan pada kotak dialog Port Properties. Dalam kotak Maksimum Port, pastikan jumlah koneksi VPN yang dapat didukung oleh jenis port yang Anda pilih; dikonfigurasi ke nilai yang sesuai yang dapat mendukung jumlah koneksi VPN bersamaan yang Anda harapkan.

Ketika datang ke pemecahan masalah mengapa koneksi VPN tidak dapat dibuat dan mengapa sumber daya tidak dapat dijangkau setelah koneksi VPN dibuat, Anda mungkin menemukan bahwa pemecahan masalah koneksi VPN dan pemecahan masalah koneksi akses jarak jauh memiliki kesamaan. Selain itu, mungkin ada banyak alasan mengapa klien VPN tidak dapat membuat koneksi dengan layanan VPN. Karena itu, mungkin masuk akal untuk memulai strategi pemecahan masalah Anda dengan merujuk caral referensi Open Systems Interconnection ( OSI ) dan kemudian mulai dengan memeriksa masalah penghubung yang paling sederhana pada awalnya. Anda akan melanjutkan dengan meningkatkan caral OSI, dan memecahkan masalah yang lebih rumit yang mungkin ada.

Anda harus memulai dengan memverifikasi koneksi jaringan yang mendasarinya, yaitu, memverifikasi bahwa klien dapat membuat koneksi yang mendasarinya ke ISP-nya. Saat menghubungkan ke server VPN melalui koneksi Internet yang persisten, Anda harus memeriksa apakah server VPN memiliki konektivitas Internet. Untuk memeriksa ini, Anda dapat melakukan ping ke server VPN untuk memastikan konektivitas Internet untuk klien dan server VPN.

Saat menguji konektivitas Internet, periksa hal berikut:

  • Firewall harus dikonfigurasi untuk mengizinkan koneksi VPN.
  • Firewall tidak boleh memblokir permintaan ICMP.
  • Setiap upaya koneksi harus ke alamat IP yang tepat.
  • Periksa apakah ada masalah konfigurasi NAT.
  • Periksa apakah ada masalah terjemahan NAT.

Setelah memverifikasi konektivitas antara klien dan server VPN, Anda harus mulai memecahkan masalah yang lebih rumit:

  • Verifikasi bahwa server dan klien VPN diatur untuk menggunakan protokol tunneling VPN yang sama untuk mengenkapsulasi data dan mengelola tunnel VPN:
    • Server VPN dan klien harus dikonfigurasi untuk menggunakan Point-to-Point Tunneling Protocol (PPTP) ATAU
    • Server dan klien VPN harus dikonfigurasi untuk menggunakan Layer Two Transport Protocol (L2TP).
Baca Juga  Kesalahan Memuat Sistem Operasi

Ingat bahwa Windows 95, Windows 98, Windows ME, Windows NT 4.0, Windows 2000, Windows XP dan Windows Server 2003 mendukung PPTP. Hanya Windows 2000, Windows XP dan Windows Server 2003 yang mendukung LTP.

  • Pastikan username dan password yang digunakan sudah benar.
  • Verifikasi bahwa server dan klien VPN dikonfigurasi untuk menggunakan protokol otentikasi yang sama. Infrastruktur Kunci Publik (PKI) diperlukan untuk otentikasi bersama antara server VPN dan klien VPN. Sertifikat harus diinstal pada server VPN dan klien VPN. Selain itu, otentikasi pengguna memerlukan protokol seperti Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) dan Extensible Authentication Protocol Transport Layer Security (EAP-TLS).
  • Verifikasi bahwa server dan klien VPN dikonfigurasi untuk menggunakan tingkat enkripsi atau kekuatan enkripsi yang sama. Tingkat enkripsi utama yang direkomendasikan adalah opsi Enkripsi Kuat (kunci 56-bit digunakan untuk enkripsi), atau opsi Enkripsi Terkuat (kunci 128-bit digunakan untuk enkripsi).
  • Verifikasi bahwa tidak ada kebijakan akses jarak jauh yang mencegah koneksi VPN dibuat. Ingatlah bahwa semua kondisi dalam kebijakan akses jarak jauh harus dicocokkan agar upaya koneksi akses jarak jauh diizinkan. Ketika pengguna mencoba untuk membuat sambungan, kebijakan akses jarak jauh dievaluasi untuk menentukan apakah pengguna diizinkan untuk mengakses server akses jarak jauh. Pengguna hanya diperbolehkan mengakses setelah semua kondisi dalam kebijakan akses jarak jauh mengizinkan akses. Selain itu, jika ada kebijakan yang menolak akses, koneksi akan ditolak. Saat menggunakan kebijakan akses jarak jauh, akun pengguna harus dikonfigurasi untuk menggunakan kebijakan akses jarak jauh. Anda dapat memverifikasi ini pada kotak dialog Properties dari akun pengguna, pada tab Dial-in. Opsi Kontrol Akses Melalui Kebijakan Akses Jarak Jauh harus diaktifkan. Jika Anda tidak menggunakan kebijakan akses jarak jauh, maka pengguna harus dikonfigurasi dengan izin masuk pada lembar Properti Akun (tab Dial-In).

Alat dan Utilitas Baris Perintah untuk Memecahkan Masalah Koneksi VPN

Beberapa utilitas dan metode baris perintah yang dapat Anda gunakan saat memecahkan masalah VPN tercantum di sini:

  • Penampil Acara; dapat digunakan untuk melihat dan menganalisis informasi logging saat logging audit diaktifkan.
  • IPCONFIG; untuk pengujian pengaturan konfigurasi IP dasar dan pengaturan konfigurasi sistem lokal, termasuk:
    • Pengaturan konfigurasi server DNS.
    • Pengaturan konfigurasi server WINS.
    • Pengaturan adaptor PPP
    • Pengaturan adaptor WAN

NBTSTAT; untuk mengatasi masalah WINS dan NetBIOS.

  • Diagnostik ras Netsh; untuk mengaktifkan kemampuan diagnostik untuk koneksi akses jarak jauh.
  • NSLOOKUP; untuk pemecahan masalah rumit masalah DNS .
  • utilitas PING; untuk pengujian konektivitas.

Anda dapat menggunakan konsol Perutean dan Akses Jarak Jauh untuk memeriksa dan mengelola klien akses jarak jauh yang telah membuat sambungan ke server akses jarak jauh.

Untuk melihat status klien akses jarak jauh yang terhubung,

  1. Klik Mulai, Alat Administratif, lalu pilih Perutean Dan Akses Jarak Jauh untuk membuka konsol Perutean Dan Akses Jarak Jauh.
  2. Di pohon konsol, pilih Klien Akses Jarak Jauh.
  3. Semua klien akses jarak jauh yang terhubung saat ini ditampilkan di panel detail konsol Perutean Dan Akses Jarak Jauh.
  4. Klik kanan nama pengguna yang ingin Anda periksa, lalu pilih Status dari menu pintasan untuk melihat status koneksi.

Untuk memutuskan klien akses jarak jauh

  1. Klik Mulai, Alat Administratif, lalu pilih Perutean Dan Akses Jarak Jauh untuk membuka konsol Perutean Dan Akses Jarak Jauh.
  2. Di pohon konsol, pilih Klien Akses Jarak Jauh.
  3. Di panel detail, klik kanan nama pengguna yang ingin Anda putuskan sambungannya, lalu pilih Putuskan sambungan dari menu pintasan

Memecahkan masalah terowongan VPN yang tidak dapat dibuat

Saat Anda memiliki masalah dengan pembuatan terowongan VPN, gunakan daftar di bawah ini sebagai panduan referensi cepat untuk memecahkan masalah khusus ini:

  • Pastikan alamat IP yang benar digunakan untuk koneksi. Jika alamat yang digunakan salah, sesi PPTP akan diatur ulang.
  • Pastikan bahwa tidak ada mekanisme pemfilteran paket antara server VPN dan klien VPN yang dapat mencegah koneksi dibuat.
  • Periksa apakah pemfilteran paket pada router mana pun di jalur tersebut memblokir protokol yang diperlukan.
  • Periksa konfigurasi protokol tunneling VPN:
    • L2TP, port UDP 1701.
    • PPTP, TCP port 1723 & protokol ID 47 untuk sesi kontrol dan GRE.
    • IPSec, ID protokol 50 dan 51 untuk IPSEC Authentication Header dan IPSec Encapsulating Security Payload.
    • IP-IP, ID protokol IP4.
Baca Juga  Cara Mengganti Baterai MacBook Pro

Pemecahan Masalah Koneksi VPN Akses Jarak Jauh

Beberapa panduan untuk memecahkan masalah koneksi VPN akses jarak jauh tercantum di bawah ini:

  • Pastikan bahwa Layanan Perutean dan Akses Jarak Jauh (RRAS) diinstal dan diaktifkan di server VPN.
  • Untuk koneksi akses jarak jauh yang akan dibuat antara server VPN dan klien akses jarak jauh, opsi Server Akses Jarak Jauh harus diaktifkan pada tab Umum dari kotak dialog Properti dari server akses jarak jauh. Anda dapat menggunakan konsol manajemen Perutean dan Akses Jarak Jauh untuk memverifikasi bahwa opsi Server Akses Jarak Jauh diaktifkan.
  • Gunakan PING untuk memverifikasi bahwa alamat IP server VPN dapat dijangkau.
  • Verifikasi bahwa protokol tunneling VPN yang benar diaktifkan pada kotak dialog Port Properties. Protokol tunneling yang dipilih harus didukung oleh server VPN.
  • Gunakan kotak Port Maksimum untuk memastikan bahwa jumlah koneksi untuk jenis port yang telah Anda pilih diatur ke nilai yang sesuai untuk mendukung koneksi VPN Anda. Periksa apakah semua port sedang digunakan.
  • Jika perlu, tambah jumlah port PPTP atau port L2TP untuk melayani koneksi VPN yang lebih bersamaan.
  • Verifikasi bahwa protokol tunneling VPN dari klien VPN didukung oleh server VPN.
  • Pastikan bahwa pengaturan kebijakan akses jarak jauh dan pengaturan yang dikonfigurasi di properti server akses jarak jauh tidak bertentangan.
  • Periksa apakah pengaturan profil kebijakan akses jarak jauh yang cocok bertentangan dengan pengaturan konfigurasi server VPN. Ketika situasi ini muncul, upaya koneksi VPN ditolak.
  • Sambungan akses jarak jauh VPN harus memiliki izin yang benar agar sambungan dapat dibuat. Anda dapat memverifikasi izin yang ditentukan untuk koneksi dengan memeriksa kebijakan akses jarak jauh dan properti dial-in dari akun pengguna tertentu.
  • Server akses jarak jauh, kebijakan akses jarak jauh, dan klien VPN semuanya harus dikonfigurasi untuk minimal menggunakan satu protokol otentikasi umum.
  • Jika MS-CHAP v1 adalah protokol otentikasi yang digunakan, pastikan kata sandi pengguna tidak lebih dari 14 karakter.
  • Server akses jarak jauh, kebijakan akses jarak jauh, dan klien VPN semuanya harus dikonfigurasi untuk minimal menggunakan satu kekuatan enkripsi umum. Anda dapat memverifikasi informasi ini pada tab Keamanan dari kotak dialog Properti Koneksi Dial-Up.
  • Sambungan akses jarak jauh VPN harus memiliki izin yang benar agar sambungan dapat dibuat. Anda dapat memverifikasi izin yang ditentukan untuk koneksi dengan memeriksa kebijakan akses jarak jauh dan properti dial-in dari akun pengguna tertentu.
  • Verifikasi bahwa kredensial klien VPN dapat diautentikasi oleh server VPN. Ini termasuk:
    • Nama pengguna
    • Kata sandi
    • Nama domain.
  • Periksa apakah protokol LAN yang digunakan oleh klien VPN benar-benar didukung, dan diaktifkan untuk akses jarak jauh.
  • Jika server akses jarak jauh menetapkan alamat ke klien VPN dari kumpulan alamat statis yang telah ditentukan sebelumnya, pastikan bahwa kumpulan alamat dapat menangani koneksi klien VPN bersamaan yang diperlukan. Semua upaya koneksi VPN tambahan ditolak jika server VPN tidak dapat menetapkan alamat IP karena semua alamat IP yang ada sudah digunakan.
  • Jika server akses jarak jauh memberikan alamat ke klien VPN melalui server DHCP, pastikan bahwa cakupan server DHCP dapat menangani alamat yang diperlukan oleh server akses jarak jauh.

Pemecahan Masalah Koneksi VPN yang Diizinkan ketika Harus Ditolak/Ditolak

Jika Anda ingin secara khusus menolak koneksi VPN, berdasarkan penolakan izin akses jarak jauh untuk koneksi VPN, maka Anda harus menggunakan salah satu metode yang tercantum di sini:

  • Di objek Pengguna, izin akses jarak jauh harus ditetapkan sebagai Tolak Akses.
  • Di objek Pengguna, izin akses jarak jauh harus ditetapkan sebagai Akses Kontrol Melalui Kebijakan Akses Jarak Jauh. Kebijakan akses jarak jauh awal yang cocok dengan koneksi VPN harus dikonfigurasi sebagai Tolak Izin Akses Jarak Jauh.
Baca Juga  Apa itu Array Surya?

Oleh karena itu, ketika koneksi VPN diizinkan ketika seharusnya ditolak/ditolak, Anda perlu memastikan bahwa pengaturan yang ditentukan untuk koneksi VPN tertentu menolak izin di objek Pengguna.

Pemecahan Masalah VPN Router-ke-Router

Beberapa panduan untuk memecahkan masalah yang terkait dengan VPN router-ke-router dirangkum di bawah ini:

  • Opsi Router dan opsi LAN harus diaktifkan pada server akses jarak jauh. Anda dapat memverifikasi ini melalui konsol Perutean Dan Akses Jarak Jauh, dengan mencentang konfigurasi pada tab Umum pada kotak dialog Properti Server.
  • Setiap server akses jarak jauh harus dikonfigurasi untuk menangani jumlah koneksi yang sesuai. Anda perlu memverifikasi bahwa setiap server memiliki jumlah port yang cukup yang ditentukan di node Port dari konsol Perutean dan Akses Jarak Jauh.
  • Setiap server akses jarak jauh harus memiliki opsi Aktifkan Perutean IP yang dipilih. Verifikasi ini dengan mengakses konsol Perutean Dan Akses Jarak Jauh, dan centang pengaturan opsi ini pada tab IP dari kotak dialog Properti Server.
  • Anda harus memastikan bahwa rute statis dikonfigurasi dengan benar di server akses jarak jauh untuk lalu lintas yang ditujukan ke jaringan lain untuk diteruskan ke router VPN yang tepat.
  • Sambungan VPN harus memiliki izin yang sesuai pada properti panggilan masuk akun pengguna dan dalam kebijakan akses jarak jauh Anda.
  • Pengaturan yang ditentukan dalam kebijakan akses jarak jauh Anda tidak boleh bertentangan dengan properti konfigurasi server akses jarak jauh.
  • Router panggilan-permintaan, dan menjawab server akses jarak jauh dan kebijakan akses jarak jauh harus menggunakan setidaknya satu metode otentikasi umum. Mereka juga harus menggunakan tingkat atau kekuatan enkripsi yang sama.
  • Server akses jarak jauh di setiap ujung sambungan harus menjadi bagian dari grup RAS dan IAS Server di domain lokal.

Memecahkan Masalah Akses Sumber Daya

Ketika ada masalah dengan mengakses sumber daya melewati server VPN, gunakan pedoman yang tercantum di sini:

  • Opsi Seluruh Jaringan harus ditentukan untuk protokol LAN yang digunakan oleh klien VPN.
  • Ketika sumber daya tidak dapat diakses, mulailah dengan memverifikasi bahwa alamat IP untuk WAN atau Adaptor PPP untuk klien VPN berada dalam kisaran alamat kumpulan alamat IP statis atau dalam kisaran cakupan server DHCP yang ditentukan. Jika berlaku, periksa ini juga untuk router VPN.
  • Jika server VPN menggunakan server DHCP untuk penetapan alamat, dan tidak ada server DHCP yang tersedia, server VPN akan menetapkan alamat dari rentang alamat AutoNet (169.254.0.0/16). Rute ke 169.254.0.0/16, subnet mask 255.255.0.0 harus dikonfigurasi untuk router intranet.
  • Jika server VPN memberikan alamat IP melalui penetapan alamat IP statis, Anda harus memastikan bahwa rentang alamat IP yang ditentukan oleh kumpulan alamat IP statis yang digunakan oleh server VPN dapat diakses oleh host dan router. Anda dapat menggunakan perutean statis atau protokol perutean dinamis seperti RIP untuk menentukan rute ke jaringan.
  • Dalam situasi di mana kumpulan alamat IP statis berisi rentang alamat IP yang sebenarnya merupakan subset dari rentang alamat IP untuk jaringan yang terhubung dengan server VPN; kumpulan alamat IP statis tidak boleh dialokasikan ke node TCP/IP lainnya.
  • Jika sumber daya tidak dapat diakses saat menggunakan namanya, verifikasi resolusi nama untuk koneksi VPN:
    • Untuk konektivitas FQDN, pastikan klien VPN dapat mengakses server DNS yang ditentukan.
    • Untuk konektivitas UNC, pastikan klien VPN dapat mengakses server WINS yang sesuai.
  • Masalahnya bisa jadi karena masalah perutean dalam koneksi VPN yang sebenarnya. Anda harus memverifikasi bahwa router VPN memiliki entri tabel rute yang tepat untuk setiap jaringan jarak jauh.