10 lỗi thường gặp của VPN và cách khắc phục

1. Không thể cài đặt máy trạm Cisco 3000 VPN khi chạy Internet Connection SharingĐây không phải là một lỗi phức tạp. Người dùng chỉ cần tắt bỏ ICS (Internet Connection Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạn cũng nên thay thế ICS bằng một router phù hợp với một hệ thống firewall. Tuy nhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua một máy khác có sử dụng ICS.Để tắt bỏ ICS, vào menu Start Control Panel Administrative Tools Services Internet Connection Sharing, sau đó hủy chọn...
Nội dung trích xuất từ tài liệu:
10 lỗi thường gặp của VPN và cách khắc phục 10 lỗi thường gặp của VPN và cách khắc phục1. Không thể cài đặt máy trạm Cisco 3000 VPN khi chạy Internet ConnectionSharingĐây không phải là một lỗi phức tạp. Người dùng chỉ cần tắt bỏ ICS (InternetConnection Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạncũng nên thay thế ICS bằng một router phù hợp với một hệ thống firewall. Tuynhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua mộtmáy khác có sử dụng ICS.Để tắt bỏ ICS, vào menu Start Control Panel Administrative Tools ServicesInternet Connection Sharing, sau đó hủy chọn tùy chọn Load On Startup.Tuy nhiên, sau khi hủy chọn tùy chọn này, chế độ Welcome Screen và Fast UserSwitching trên máy trạm VPN sử dụng Windows XP cũng sẽ bị tắt bỏ. Chếđộ Standby, Task Manager vẫn hoạt động bình thường, nhưng người dùng sẽphải nhập tên đăng nhập và mật khẩu vào một hộp thoại thay vì trên mànhình Welcome Screen.Chú ý: Chế độ Fast User Switching có thể được kích hoạt lại bằng cách hủy bỏtính năng Start Before Logintrên máy trạm. Tuy nhiên nếu kích hoạt lại chế độnày cũng làm phát sinh một số vấn đề, vì vậy nếu không thực sự cần thiết ngườidùng không nên kích hoạt lại Fast User Switching.Một điều nữa liên quan tới việc cài đặt máy trạm đó là Cisco không đề xuất cài đặtnhiều máy trạm VPN trên cùng một máy PC. Nếu bạn đã cài nhiều máy trạm VPNtrên PC của mình thì tốt nhất nên gỡ bỏ bớt.2. Xác định lỗi của Key qua các bản ghiNếu gặp phải lỗi trong những bản ghi liên quan tới những key chia sẻ trước đó,bạn có thể đã đánh dấu sai key trên điểm cuối của kết nối VPN. Nếu lỗi này xảyra, những bản ghi có thể hiển thị quá trình trao đổi giữa máy trạm và máy chủVPN trong chế độ kết hợp bảo mật chính IKE.Chỉ một thời gian ngắn sau khi quá trình trao đổi này diễn ra, log sẽ thông báo lỗicủa key. Trên Concentrator, truy cập vào Configuration System TunnelingProtocols, sau đó lựa chọn tùy chọn IPSec LAN-to-LAN và lựa chọn cấuhình IPSec của bạn. Trong trường Preshare Key, nhập những key đã chia sẻ.Trong hệ thống tường lửa PIX của Cisco được sử dụng cùng với Concentrator,chạy lệnh isakmp key password address xx.xx.xx.xx netmask 255.255.255.255,trong đó password là key được chia sẻ trước đó. Chú ý nhập chính xác những keyđược sử dụng trong Concentrator và PIX.3. Không thể kết nối VPN khi chạy phần mềm bảo mậtMột vài cổng cần được mở trong phần mềm bảo mật như BlackIce (BlackIce tồntại một số vấn đề liên quan tới máy trạm VPN của Cisco), ZoneAlarm, Symantec và một số chương trình bảo mật Internet khác cho Windowscũng như ipchains và iptables của Linux. Nếu người dùng mở những cổng dướiđây trong phần mềm bảo mật, thì họ vẫn có thể kết nối VPN: Cổng 500, 1000 và 10000 của UDP Giao thức IP 50 (ESP) Cổng TCP được cấu hình cho IPSec/TCP Cổng 4500 của NAT-TCó thể bạn đã cấu hình các cổng cho IPSec/UDP và IPSec/TCP. Bạn cần phải mởnhững cổng đã cấu hình này trên phần mềm máy trạm.4. Không thể truy cập tài nguyên trên mạng chủ khi kết nối VPNLỗi này thường xảy ra khi Split-tunneling bị tắt bỏ. Split-tunneling có thể gây ramột số nguy cơ bảo mật, nhưng những nguy cơ này có thể được hạn chế ở mộtmức độ nào đó bằng việc sử dụng những chính sách bảo mật một cách hợp lý, vànhững nguy cơ này có thể tự động được phát tán sang các máy trạm khác trongmạng (ví dụ, một chính sách có thể yêu cầu cài đặt chương trình diệt virus hiện tạihay yêu cầu bật firewall trên hệ thống). Trên PIX, sử dụng lệnh dưới đây để chạylại Split-tunneling:vpngroup vpngroupname split-tunnel split_tunnel_aclBạn cần dùng lệnh access-list phù hợp để cho phép những địa chỉ IP truy cập quatunnel mã hóa và những địa chỉ được cho phép truy cập qua những tunnel khôngđược mã hóa. Ví dụ, dùng lệnh access-list split_tunnel_acl permit ip 10.0.0.0255.255.0.0 any để cho phép địa chỉ IP truy cập vào cả tunnel mã hóa và tunnelkhông mã hóa.Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần đượchệ thống mạng đưa vào tunnel mã hóa. Vào Configuration User ManagementBase Group, trong tab Client Config lựa chọn tùy chọn Only Tunnel NetworksIn The List và tạo một danh sách tất cả các mạng cần được VPN theo dõi tại trangcủa bạn và lựa chọn danh sách mạng này từ hộp Split Tunneling Network List.5. Xung đột địa chỉ IPĐây là lỗi đặc trưng của những hệ điều hành đặc biệt này, và có thể gây nhiều khókhăn khi gỡ rối. Phiên bản 4.6 cho máy trạm VPN của Cisco đã cố gắng khắc phụcnhững địa chỉ IP xung đột này, nhưng không phải lúc nào nó cũng làm được nhưvậy. Sự xung đột IP này sẽ cản trở việc truyền lưu lượng qua tunnel của VPN.Để xử lý lỗi này bạn thực hiện các thao tác sau: Vào menu Start Control PanelNetwork And Dialup Connections Local Adapter ...