none
Ошибка 678 VPN по протоколу L2TP RRS feed

  • Вопрос

  • Есть сервер Windows 2003 Standard (контроллер домена, центр сертификации, VPN, IAS).

     

    Есть компьютер домашнего пользователя, не входящий в домен.

     

    Пользователь через Веб-интерфейс служб сертификации запрашивает сертификат по шаблону "Пользователь" для своего ПК (CSP: Microsoft Base Cryptographic Provider 1.0; новый ключ размером 1024 бит; при запросе установлена опция "использовать локальное хранилище компьютера для сертификата").

     

    Спустя 10 суток по величайшему одобрению администратора сервера, пользователь получает желанный сертификат и устанавливает его через Веб-интерфейс служб сертификации в локальное хранилище сертификатов текущего (своего) компьютера.

     

    Также пользователь, ничтоже сумняшися, скачивает и устанавливает сертификат самого ЦС в хранилище "Доверенные корневые центры сертификации" текущего пользователя и текущего (своего) компьютера.

     

    После установки сертификатов пользователь перезагружает свой ПК, а также убедительно просит администратора и в конце-концов добивается перезагрузки самого сервера в течение 10 минут.

     

    Когда сервер и локальный ПК перезагружены и работают, пользователь начинает установление VPN-соединения по протоколу L2TP через свой ADSL-модем (без предварительного ключа IPSec, c обязательным шифрованием - иначе отключаться, с аутентификацией MSCHAPv2) - и... получает ошибку 678. Однако точно такое же, но PPTP VPN-соединение устанавливается нормально!

     

    На сервере открыты порты: UDP 1701, UDP 500, UDP 4500, TCP 1723.

     

    Пожалуйста, подскажите, как решить проблему с ошибкой 678 для L2TP?

    8 января 2009 г. 2:29

Ответы

Все ответы

  • Дополнительная информация: для аутентификации в VPN используется RADIUS, учетная запись сервера входит в группу "Серверы RAS и IAS", учетной записи пользователя разрешен доступ к VPN в политике удаленного доступа, для входа на VPN-сервер как по протоколу PPTP, так и по протоколу L2TP используются одни и те же учетные данные...

     

    Но при этом, на VPN-сервер по протоколу PPTP вход выполняется без проблем, а по L2TP - ошибка 678.

     

    8 января 2009 г. 3:14
  •  Eurisco написано:

    Пожалуйста, подскажите, как решить проблему с ошибкой 678 для L2TP?

    Код ошибки означает  "нет ответа".

     Eurisco написано:

    На сервере открыты порты: UDP 1701, UDP 500, UDP 4500, TCP 1723. Используется ADSL-модем ZyXEL P660.

    Где стоит межсетевой экран, который блокирует порты?

    Если он не встроен в Windows, то, если у клиента реальный IP, нужно открывать IP-протокол ESP (номер протокола 50).

    Если клиент работает через NAT, то каков тип ОС клиента?

    Если ниже XP SP2, то нужно ставить дополнительное обновление для поддержки NAT-T.

    И последнее - не стоит ли VPN сервер за NAT сам? Если да, то по умолчанию клиенты XP SP2 и выше с таким по L2TP соединяться не будут по соображениям безопасности (требуется внесение изменений в реестр клиента).

     

     

    8 января 2009 г. 9:43
  • Спасибо, но я знаю, что означает код этой ошибки. :-) Cтранны обстоятельства ее возникновения, поэтому я и спрашиваю Вашего совета, глубокоуважаемые Участники Форума.

     

     M.V.V. написано:

    Где стоит межсетевой экран, который блокирует порты?

     

    В ADSL-модеме на стороне сервера.

     

     M.V.V. написано:

    Если он не встроен в Windows, то, если у клиента реальный IP, нужно открывать IP-протокол ESP (номер протокола 50).

     

    В модеме нельзя открыть протокол - можно только открыть порты. Нужные порты открыты.

    Замечу, что для того же PPTP должен быть открыт протокол GRE (номер протокола 47), но в модеме открыт не протокол, а порт и PPTP работает.

     

     M.V.V. написано:

    Если клиент работает через NAT, то каков тип ОС клиента?

     

    Да, клиент тоже работает через NAT, в данном случае - это его ADSL-модем. Тип ОС клиента - Microsoft Windows XP SP2.

     

     M.V.V. написано:

    И последнее - не стоит ли VPN сервер за NAT сам? Если да, то по умолчанию клиенты XP SP2 и выше с таким по L2TP соединяться не будут по соображениям безопасности (требуется внесение изменений в реестр клиента).

     

    Об этом, пожалуйста, расскажите подробнее. Сервер находится за NAT устройством, в данном случае - это его ADSL-модем.

    8 января 2009 г. 12:38
  •  

    Как устранить ошибку 678 при подключении VPN L2TP к серверу, который находится за NAT?
    10 января 2009 г. 1:23
  • Ответ нашел здесь.

     

    :-))))

    13 января 2009 г. 10:08