Các vấn đề trong mạng riêng ảo đặc biệt rơi vào các dạng sau :
• Kết nối dự định bị đẩy ra khi nó nên được chấp nhận.
• Không thể tới được các vùngdựa vào máy phục vụ VPN.
• Không thể hoàn thành một đường ngầm.
Sử dụng các mẹo xử lý sự cố để tỏch các vấn đề về cấu hình hoặc cơ sở hạ tầng nguyên nhân của các vấn đề trong mạng riêng ảo.
1.20.1. Một yêu cầu kết nối bị từ chối mà đáng ra nó phải được chấp nhận
• Sử dụng câu lệnh ping, xác nhận hostname hoặc địa chỉ IP của máy phục vụ VPN. Nếu một host name được sử dụng, xác nhận hostname được tái giải quyết tới địa chỉ IP chính xác của nó. Nếu câu lệnh ping thực hiện không thanh công, bộ lọc gói của giao thức điều khiển khác điệp internet (ICMP) có thể ngăn chặn việc phân phát các khác điệp ICMP tới máy phục vụ VPN hoặc tử máy phục vụ đi.
• Xác nhận phục vụ truy cập từ xa hoặc phục vụ định tuyến và truy cập từ xa đang chay trên máy phục vụ VPN.
• Xác nhận tất cả các cổng PPTP trên máy phục vụ VPN mà không được sử dụng.
Nếu cần thiết, cấu hình các tính chất trên giao thưc đường ngầm điểm tới điểm trong control panel-network và thay đổi số cổng PPTP cho phép nhiều kết nối đồng thời.
• Kiểm tra máy khách VPN và máy phục vụ VPN có được cấu hình với các thiết lập đúng khác thường không.
• Kiểm tra máy khách VPN và máy phục vụ VPN có được cấu hình với các thiết lập mã hóa khác thường không.
• Kiểm tra các giao thức mạng cục bộ được sử dụng bởi máy khách VPN có thể cho phép truy cập tử f xa không.
• Kiểm tra các quyền uỷ nhiệm của máy khách VPN bao gồm user name, password, và tên miền có chính xác không và có thể được công nhận bởi máy phục vụ VPN.
• Kiểm tra tài khoản người sử dụng có tương ưng với quyền uỷ nhiệm người sử dụng của máy khách VPN đã được công nhận cho phép dialin.
• Nếu máy phục vụ VPN được cấu hình sử dụng DHCP để phân bố các địa chỉ IP tới các máy khách truy cập từ xa, kiểm tra máy phục vụ DHCP là có khả năng.
• If the VPN server is configured with a static IP address pool, verify that there are enough addresses in the pool.
• Nếu máy phục vụ VPN được cấu hình với các địa chỉ IP tĩnh, kiểm tra xem có đủ địa chỉ IP không.
• Nếu tất cả các địa chỉ trong vùng tĩnh đã được phân bố đẻ kết nối tới các máy khách VPN, máy phục vụ VPN không thể phân bố địa chỉ IP, và các kết nối đự định sẽ bị đẩy.
• Kiểm tra cấu hình của nhà cung cấp hợp pháp. Một máy phục vụ VPN dựa trên RRAS có thể được cấu hình để sử dụng đồng thời Windows NT 4.0 hoặc RADIUS để xác nhận các uỷ quyền của máy khách truy cập từ xa.
• Với các mạng riêng ảo truy cập từ xa, kiểm tra các cổng PPTP có được cấu hình để nhận các cuộc gọi không.
• Với các mạng riêng ảo truy cập từ xa, kiểm tra các giao thức mạng cục bộ được sử dụng các máy khách VPN có khả năng cho truy cập từ xa không.
1.20.2. Không thể truy cập đến các vùng ngoài tầm của VPN server
• Với các mạng riêng ảo truy cập từ xa, kiểm tra các lựa chọn trên toàn bộ mạng đã được chọn chưa với các giao thức của mạng cục bộ được sử dụng bởi các
• Kiểm tra vùng địa chỉ IP của máy phục vụ VPN. Nếu máy phục vụ VPN được cấu hình để sử dụng địa chỉ IP tĩnh, kiểm tra định tuyến phạm vi địa chỉ được định nghĩa bởi vùng địa chỉ IP tĩnh có thể tới được bởi các host và các bộ định tuyến của mạng nội bộ. Nếu không, một IP định tuyến bao gồm vùng địa chỉ IP tĩnh của máy phục vụ, {IP Address, Subnet Mask}, phải được thêm tới các bộ định tuyến của mạng nội bộ. Nếu định tuyến không được thêm, các máy khách truy cập từ xa không thể nhận các giao dịch tài nguyên trên mạng nội bộ. Một tuyến đoạn trên mạng có thể được thực hiện qua các đầu vào định tuyến tĩnh hoặc qua giao thức định tuyến như RIP hoặc OSPF. Nếu máy phục vụ VPN được cấu hình để sử dụng DHCP với các địa chỉ IP và không có máy phục vụ DHCP có khả năng, các máy khách VPN sẽ không thể được kết nối. Nếu vùng địa chỉ IP tĩnh là một phạm vi các địa chỉ IP là một tập con của các địa chỉ IP cho mạng mà máy phục vụ VPN ở đó, kiểm tra phạm vi các địa chỉ IP trong vùng địa chỉ IP tĩnh không được đăng ký tới các nót TCP/IP tĩnh hoặc qua DHCP.
• Với mạng riêng ảo dựa vào router-to-router, kiểm tra kết nối VPN router-to- router không được hiểu bởi máy phục vụ VPN như một kết nối truy cập từ xa.
Kiểm tra các kết nối bộ định tuyến theo kiểu cuộc gọi xuất hiện nư một dạng yêu cầu quay số dưới Active Connections and Ports trong công cụ quản trị định tuyến và quản trị RAS. Nếu không, kiểm tra tên người sử dụng trong uỷ quyền bộ định tuyến theo kiểu cuộc gọi có cùng với tên của giao diện yeu cầu quay số trên máy phục vụ VPN.
1.20.3. Không thể thiết lập một tuyến truyền
• Kiểm tra lọc lọc gói trên giao diện bộ định tuyến giữa máy khách VPN và máy phục vụ VPN không chặn hướng tới giao thức đường hầm. Trên máy phục vụ VPN dựa vào Windows NT 4.0, bộ lọc gói IP có thể được cấu hình từ các thuộc tính nâng cao của TCP/IP và từ công cụ quản trị định tuyến và quản trị RAS.
Kiểm tra cả hai nơi cho các bộ lọc gói tin có thể ngăn chặn các giao dịch kết nối VPN. Để có nhiều khác tin về giao dịch kết nối VPN và lọc gói, hóy xem phần Mạng riêng ảo và Firewalls ở phần sau.
• Kiểm tra WinSock Proxy client có đang chạy trên máy khách VPN không. Khi WinSock Proxy client được kích hoạt, hàm API WinSock được gọi để tạo ra các đường ngầm và gửi dữ liệu đường ngầm bị chặn và hướng tới một máy phục vụ Proxy đựơc cấu hình. Một máy tính có phục vụ Proxy cho phép một tổ chức truy cập đặc biệt tới các dạng tài nguyên của internet ( đặc biệt là Web và FTP ) không có kết nối trực tiếp từ tổ chức tới internet. Một tổ chức có thể sử dụng InterNIC phân bố các định danh IP mạng riêng ( như là 10.0.0.0/8). Các máy phục vụ Proxy được sử dụng để ngững người sử dụng riêng trong công ty có thể có truy cập tới các tài nguyên internet công cộng như là đang được gắn trực tiếp tới internet. Các kết nối VPN được sử dụng đặc biệt đến nỗi mà những người sử dụng internet được phép có thể truy cập tới các tài nguyên của tổ chức riêng như là họ được gắn trực tiếp trong mạng riêng. Một máy tính đơn có thể hoạt động như một máy phục vụ Proxy ( với những người sử dụng riêng ) và một máy phục vụ VPN ( để người sử dụng internet có thẩm quyền ) để dễ dàng trao đổi khác tin.