Đang tải... (xem toàn văn)
1. Không thể cài đặt máy trạm Cisco 3000 VPN khi chạy Internet Connection Sharing Đây không phải là một lỗi phức tạp. Người dùng chỉ cần tắt bỏ ICS (Internet Connection Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạn cũng nên thay thế ICS bằng một router phù hợp với một hệ thống firewall. Tuy nhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua một máy khác có sử dụng ICS. Để tắt bỏ ICS, vào menu Start Control Panel Administrative Tools Services Internet Connection Sharing, sau đó hủy chọn...
10 lỗi thường gặp VPN cách khắc phục Không thể cài đặt máy trạm Cisco 3000 VPN chạy Internet Connection Sharing Đây lỗi phức tạp Người dùng cần tắt bỏ ICS (Internet Connection Sharing) máy trước cài đặt máy trạm VPN Tuy nhiên, bạn nên thay ICS router phù hợp với hệ thống firewall Tuy nhiên điều không cần thiết máy VPN kết nối thơng thường qua máy khác có sử dụng ICS Để tắt bỏ ICS, vào menu Start\ Control Panel\ Administrative Tools\ Services\ Internet Connection Sharing, sau hủy chọn tùy chọn Load On Startup Tuy nhiên, sau hủy chọn tùy chọn này, chế độ Welcome Screen Fast User Switching máy trạm VPN sử dụng Windows XP bị tắt bỏ Chế độ Standby, Task Manager hoạt động bình thường, người dùng phải nhập tên đăng nhập mật vào hộp thoại thay hình Welcome Screen Chú ý: Chế độ Fast User Switching kích hoạt lại cách hủy bỏ tính Start Before Logintrên máy trạm Tuy nhiên kích hoạt lại chế độ làm phát sinh số vấn đề, khơng thực cần thiết người dùng khơng nên kích hoạt lại Fast User Switching Một điều liên quan tới việc cài đặt máy trạm Cisco khơng đề xuất cài đặt nhiều máy trạm VPN máy PC Nếu bạn cài nhiều máy trạm VPN PC tốt nên gỡ bỏ bớt 2 Xác định lỗi Key qua ghi Nếu gặp phải lỗi ghi liên quan tới key chia sẻ trước đó, bạn đánh dấu sai key điểm cuối kết nối VPN Nếu lỗi xảy ra, ghi hiển thị trình trao đổi máy trạm máy chủ VPN chế độ kết hợp bảo mật IKE Chỉ thời gian ngắn sau trình trao đổi diễn ra, log thông báo lỗi key Trên Concentrator, truy cập vào Configuration\ System\ Tunneling Protocols, sau lựa chọn tùy chọn IPSec LAN-to-LAN lựa chọn cấu hình IPSec bạn Trong trường Preshare Key, nhập key chia sẻ Trong hệ thống tường lửa PIX Cisco sử dụng với Concentrator, chạy lệnh isakmp key password address xx.xx.xx.xx netmask 255.255.255.255, password key chia sẻ trước Chú ý nhập xác key sử dụng Concentrator PIX Không thể kết nối VPN chạy phần mềm bảo mật Một vài cổng cần mở phần mềm bảo mật BlackIce (BlackIce tồn số vấn đề liên quan tới máy trạm VPN Cisco), Zone Alarm, Symantec số chương trình bảo mật Internet khác cho Windows ipchains iptables Linux Nếu người dùng mở cổng phần mềm bảo mật, họ kết nối VPN: Cổng 500, 1000 10000 UDP Giao thức IP 50 (ESP) Cổng TCP cấu hình cho IPSec/TCP Cổng 4500 NAT-T Có thể bạn cấu hình cổng cho IPSec/UDP IPSec/TCP Bạn cần phải mở cổng cấu hình phần mềm máy trạm Không thể truy cập tài nguyên mạng chủ kết nối VPN Lỗi thường xảy Split-tunneling bị tắt bỏ Split-tunneling gây số nguy bảo mật, nguy hạn chế mức độ việc sử dụng sách bảo mật cách hợp lý, nguy tự động phát tán sang máy trạm khác mạng (ví dụ, sách u cầu cài đặt chương trình diệt virus hay yêu cầu bật firewall hệ thống) Trên PIX, sử dụng lệnh để chạy lại Split-tunneling: vpngroup vpngroupname split-tunnel split_tunnel_acl Bạn cần dùng lệnh access-list phù hợp phép địa IP truy cập qua tunnel mã hóa địa cho phép truy cập qua tunnel khơng mã hóa Ví dụ, dùng lệnh access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any phép địa IP truy cập vào tunnel mã hóa tunnel khơng mã hóa Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần hệ thống mạng đưa vào tunnel mã hóa Vào Configuration\ User Management\ Base Group, tab Client Config lựa chọn tùy chọn Only Tunnel Networks In The List tạo danh sách tất mạng cần VPN theo dõi trang bạn lựa chọn danh sách mạng từ hộp Split Tunneling Network List Xung đột địa IP Đây lỗi đặc trưng hệ điều hành đặc biệt này, gây nhiều khó khăn gỡ rối Phiên 4.6 cho máy trạm VPN Cisco cố gắng khắc phục địa IP xung đột này, khơng phải lúc làm Sự xung đột IP cản trở việc truyền lưu lượng qua tunnel VPN Để xử lý lỗi bạn thực thao tác sau: Vào menu Start\ Control Panel\ Network And Dialup Connections\ Local Adapter, sau phải chuột lên Adapter chọn Properties Trong hộp thoại Properties, chọn TCP/IP click nút Properties Click vào tùy chọn Advanced, tìm tùy chọn Interface Metric, đặt trị số hộp Trị số thông báo cho máy tính sử dụng Adapter cục thứ hai Adapter VPN có trị số sinh trắc (thấp trị số sinh trắc mới), đặt lựa chon đích lưu lượng ... Xác định lỗi Key qua ghi Nếu gặp phải lỗi ghi liên quan tới key chia sẻ trước đó, bạn đánh dấu sai key điểm cuối kết nối VPN Nếu lỗi xảy ra, ghi hiển thị q trình trao đổi máy trạm máy chủ VPN chế... cập tài nguyên mạng chủ kết nối VPN Lỗi thường xảy Split-tunneling bị tắt bỏ Split-tunneling gây số nguy bảo mật, nguy hạn chế mức độ việc sử dụng sách bảo mật cách hợp lý, nguy tự động phát tán... permit ip 10. 0.0.0 255.255.0.0 any phép địa IP truy cập vào tunnel mã hóa tunnel khơng mã hóa Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần hệ thống mạng đưa vào tunnel