12/3/12

10 lỗi thường gặp của VPN và cách khắc phục

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Tuy nhiên cũng như mạng LAN, VPN đôi khi cũng phát sinh một số lỗi gây khó chịu cho người dùng.

Dưới đây là 10 lỗi thường gặp , kèm theo đó là 10 phương pháp khắc phục giúp người dùng có thể tự giải quyết khi gặp phải những lỗi này.

1. Không thể cài đặt máy trạm Cisco 3000 VPN khi chạy Internet Connection Sharing

Đây không phải là một lỗi phức tạp. Người dùng chỉ cần tắt bỏ ICS (Internet Connection Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạn cũng nên thay thế ICS bằng một router phù hợp với một hệ thống firewall. Tuy nhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua một máy khác có sử dụng ICS.
Để tắt bỏ ICS, vào menu Start\ Control Panel\ Administrative Tools\ Services\ Internet Connection Sharing, sau đó hủy chọn tùy chọn Load On Startup.
Tuy nhiên, sau khi hủy chọn tùy chọn này, chế độ Welcome ScreenFast User Switching trên máy trạm VPN sử dụng Windows XP cũng sẽ bị tắt bỏ. Chế độ Standby, Task Manager vẫn hoạt động bình thường, nhưng người dùng sẽ phải nhập tên đăng nhập và mật khẩu vào một hộp thoại thay vì trên màn hình Welcome Screen.

Chú ý: Chế độ Fast User Switching có thể được kích hoạt lại bằng cách hủy bỏ tính năng Start Before Login trên máy trạm. Tuy nhiên nếu kích hoạt lại chế độ này cũng làm phát sinh một số vấn đề, vì vậy nếu không thực sự cần thiết người dùng không nên kích hoạt lại Fast User Switching.
Một điều nữa liên quan tới việc cài đặt máy trạm đó là Cisco không đề xuất cài đặt nhiều máy trạm VPN trên cùng một máy PC. Nếu bạn đã cài nhiều máy trạm VPN trên PC của mình thì tốt nhất nên gỡ bỏ bớt.

2. Xác định lỗi của Key qua các bản ghi

Nếu gặp phải lỗi trong những bản ghi liên quan tới những key chia sẻ trước đó, bạn có thể đã đánh dấu sai key trên điểm cuối của kết nối VPN. Nếu lỗi này xảy ra, những bản ghi có thể hiển thị quá trình trao đổi giữa máy trạm và máy chủ VPN trong chế độ kết hợp bảo mật chính IKE.
Chỉ một thời gian ngắn sau khi quá trình trao đổi này diễn ra, log sẽ thông báo lỗi của key. Trên Concentrator, truy cập vào Configuration\ System\ Tunneling Protocols, sau đó lựa chọn tùy chọn IPSec LAN-to-LAN và lựa chọn cấu hình IPSec của bạn. Trong trường Preshare Key, nhập những key đã chia sẻ.
Trong hệ thống tường lửa PIX của Cisco được sử dụng cùng với Concentrator, chạy lệnh isakmp key password address xx.xx.xx.xx netmask 255.255.255.255, trong đó password là key được chia sẻ trước đó. Chú ý nhập chính xác những key được sử dụng trong ConcentratorPIX.

3. Không thể kết nối VPN khi chạy phần mềm bảo mật

Một vài cổng cần được mở trong phần mềm bảo mật như BlackIce (BlackIce tồn tại một số vấn đề liên quan tới máy trạm VPN của Cisco), Zone Alarm, Symantec và một số chương trình bảo mật Internet khác cho Windows cũng như ipchainsiptables của Linux. Nếu người dùng mở những cổng dưới đây trong phần mềm bảo mật, thì họ vẫn có thể kết nối VPN:
  • Cổng 500, 1000 và 10000 của UDP
  • Giao thức IP 50 (ESP)
  • Cổng TCP được cấu hình cho IPSec/TCP
  • Cổng 4500 của NAT-T
Có thể bạn đã cấu hình các cổng cho IPSec/UDPIPSec/TCP. Bạn cần phải mở những cổng đã cấu hình này trên phần mềm máy trạm.

4. Không thể truy cập tài nguyên trên mạng chủ khi kết nối VPN

Lỗi này thường xảy ra khi Split-tunneling bị tắt bỏ. Split-tunneling có thể gây ra một số nguy cơ bảo mật, nhưng những nguy cơ này có thể được hạn chế ở một mức độ nào đó bằng việc sử dụng những chính sách bảo mật một cách hợp lý, và những nguy cơ này có thể tự động được phát tán sang các máy trạm khác trong mạng (ví dụ, một chính sách có thể yêu cầu cài đặt chương trình diệt virus hiện tại hay yêu cầu bật firewall trên hệ thống). Trên PIX, sử dụng lệnh dưới đây để chạy lại Split-tunneling:
vpngroup vpngroupname split-tunnel split_tunnel_acl
Bạn cần dùng lệnh access-list phù hợp để cho phép những địa chỉ IP truy cập qua tunnel mã hóa và những địa chỉ được cho phép truy cập qua những tunnel không được mã hóa. Ví dụ, dùng lệnh access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any để cho phép địa chỉ IP truy cập vào cả tunnel mã hóa và tunnel không mã hóa.
Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần được hệ thống mạng đưa vào tunnel mã hóa. Vào Configuration\ User Management\ Base Group, trong tab Client Config lựa chọn tùy chọn Only Tunnel Networks In The List và tạo một danh sách tất cả các mạng cần được VPN theo dõi tại trang của bạn và lựa chọn danh sách mạng này từ hộp Split Tunneling Network List.

5. Xung đột địa chỉ IP

Đây là lỗi đặc trưng của những hệ điều hành đặc biệt này, và có thể gây nhiều khó khăn khi gỡ rối. Phiên bản 4.6 cho máy trạm VPN của Cisco đã cố gắng khắc phục những địa chỉ IP xung đột này, nhưng không phải lúc nào nó cũng làm được như vậy. Sự xung đột IP này sẽ cản trở việc truyền lưu lượng qua tunnel của VPN.
Để xử lý lỗi này bạn thực hiện các thao tác sau: Vào menu Start\ Control Panel\ Network And Dialup Connections\ Local Adapter, sau đó phải chuột lên Adapter chọn Properties. Trong hộp thoại Properties, chọn TCP/IP và click nút Properties. Click vào tùy chọn Advanced, tìm tùy chọn Interface Metric, và đặt trị số trong hộp là 1. Trị số này thông báo cho máy tính sử dụng Adapter cục bộ thứ hai. Adapter của VPN có thể sẽ có trị số sinh trắc là 1 (thấp hơn trị số sinh trắc mới), đặt nó là lựa chon đầu tiên như một đích lưu lượng.

6. Lỗi firmware của router trên máy trạm VPN

Máy trạm VPN của Cisco gặp phải một số vấn đề với một số phiên bản firmware của router cũ (thậm chí cả với router mới). Nếu liên tục gặp phải những vấn đề kết nối, bạn nên cập nhật firmware trong router, đặc biệt với những router cũ. Máy trạm Cisco thường gặp phải những lỗi này khi sử dụng những loại router sau:
  • Linksys BEFW11S4 với firmware thấp hơn 1.44.
  • Asante FR3004 Cable/DSL Routers với firmware thấp hơn 2.15.
  • Nexland Cable/DSL Routers mẫu ISB2LAN.7. Không thể thực hiện kết nối trên máy trạm.
Trong tình huống này, người dùng sẽ thấy một thông báo lỗi như sau:
VPN Connection terminated locally by the Client. Reason 403:
Unable to contact the security gateway.

Lỗi này có thể do 2 trong số 3 lỗi sau gây ra:
  • Người dùng có thể đã nhập sai mật khẩu nhóm.
  • Người dùng có thể không nhập đúng tên hay địa chỉ IP cho điểm cuối VPN từ xa.
  • Người dùng có thể đang gặp phải những vấn đề kết nối Internet.
Cơ bản, vì một số lí do nào đó IKE đã không hoạt động. Kiểm tra những bản ghi của máy trạm (được kích hoạt bằng cách vào Log\ Enable) để tìm lỗi trong Hash Verification Failed để khắc phục chúng.

8. Lỗi thiết lập kết nối VPN từ thiết bị NAT

Sự cố này có thể xảy ra trên tất cả phần cứng VPN của Cisco khi IPSec được kích hoạt khi cài đặt những tiêu chuẩn cho phép thay đổi tiêu đề gói tin trong khi truyền.
Nếu đang sử dụng hệ thống firewall PIX cho hệ thống firewall trên máy tính và điểm cuối VPN. Mở cổng 4500 và kích hoạt NAT-Traversal trong cấu hình bằng lệnh isakmp nat-traversal 20, trong đó 20 là thời gian hoạt động của NAT. Nếu có một hệ thống firewall riêng và một Cisco VPN Concentrator, bạn chỉ cần mở UDP cổng 4500 trên hệ thống firewall với đích của Concentrator. Sau đó, trên Concentrator vào Configuration\ Tunneling And Security\ IPSec\ NAT Transparency và đánh dấu tùy chọn IPSec Over NAT-T. Ngoài ra, cần đảm bảo mọi máy trạm đang sử dụng phải được hỗ trợ NAT-T.

9. Kết nối không thông suốt

Để khắc phục lỗi này trước hết bạn cần tắt bỏ chế độ Standby, HibernateScreenSaver. StandbyHibernate có thể ngắt kết nối mạng khi máy trạm VPN đợi một liên kết cố định tới máy chủ VPN. Người dùng cũng có thể đã cấu hình máy của họ hẹn giờ tắt Adapter mạng sau một khoảng thời gian nhất định để tiết kiệm điện năng.
Nếu đang sử dụng wifi, người dùng có thể đã đang truy cập với tín hiệu wifi kém, và hậu quả là VPN có thể bị ngắt kết nối. Ngoài ra, người dùng cũng gặp phải vấn đề về đường mạng, router hay kết nối Internet, và nhiều lỗi vật lý khác.
Cũng có thể xảy ra trường hợp những địa chỉ IP trong một điểm cuối của VPN (PIX hay Concentrator 3000) đã được sử dụng hết cũng có thể gây ra lỗi này trên máy trạm.

10. Máy trạm vẫn hiện trong mạng VPN khi đã hủy kết nối

Một số lỗi khác có thể bao gồm một máy tính nào đó trong mạng của người dùng không thể ping máy VPN dù máy tính này vẫn thấy tất cả các máy khác trong mạng. Lỗi này xảy ra là do người dùng có thể đã kích hoạt hệ thống firewall tích hợp trong máy trạm VPN. Sau khi được kích hoạt hệ thống firewall này sẽ luôn chạy ngay cả khi tắt máy trạm. Để khắc phục lỗi này, trước tiên truy cập vào máy trạm, từ trang tùy chọn, hủy chọn những hộp chọn kế tiếp tùy chọn
Stateful Firewall.

0 nhận xét:

Đăng nhận xét

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More