10 lỗi thường gặp của VPN và cách khắc phục - Bản có dấu.
10 loi thuong gap cua VPN va cach khac phuc - Bản không dấu.

Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet  giữa mạng riêng của một tổ chức với địa điểm  hoặc người sử dụng  ở xa. Tuy nhiên cũng như mạng LAN, VPN đôi khi cũng phát sinh một số lỗi gây khó chịu cho người dùng.

Dưới đây là 10 lỗi thường gặp , kèm theo đó là 10 phương pháp khắc phục  giúp người dùng  có thể tự giải quyết khi gặp phải những lỗi này.

1. Không thể cài đặt máy trạm Cisco  3000 VPN khi chạy Internet  Connection  Sharing

Đây không phải là một lỗi phức tạp. Người dùng  chỉ cần tắt bỏ ICS (Internet Connection  Sharing) trên máy trước khi cài đặt máy trạm VPN. Tuy nhiên, bạn cũng nên thay thế ICS bằng một router phù hợp với một hệ thống  firewall. Tuy nhiên điều này là không cần thiết nếu máy VPN kết nối thông thường qua một máy khác có sử dụng ICS.

Để tắt bỏ ICS, vào menu Start\ Control  Panel\ Administrative Tools\ Services\ Internet  Connection  Sharing, sau đó hủy chọn tùy chọn Load On Startup.

Tuy nhiên, sau khi hủy chọn tùy chọn này, chế độ Welcome Screen và Fast User Switching trên máy trạm VPN sử dụng Windows XP  cũng sẽ bị tắt bỏ. Chế độ Standby, Task Manager vẫn hoạt động  bình thường, nhưng người dùng  sẽ phải nhập tên đăng nhập và mật khẩu  vào một hộp thoại thay vì trên màn hình  Welcome Screen.

Chú ý: Chế độ Fast User Switching có thể được kích hoạt lại bằng cách hủy bỏ tính năng Start Before Login trên máy trạm. Tuy nhiên nếu kích hoạt lại chế độ này cũng làm phát sinh một số vấn đề, vì vậy nếu không thực sự cần thiết người dùng  không nên kích hoạt lại Fast User Switching.

Một điều nữa liên quan tới việc cài đặt máy trạm đó là Cisco  không đề xuất cài đặt nhiều máy trạm VPN trên cùng một máy PC. Nếu bạn đã cài nhiều máy trạm VPN trên PC của mình thì tốt nhất nên gỡ bỏ bớt.

2. Xác định lỗi của Key qua các bản ghi

Nếu gặp phải lỗi trong những bản ghi liên quan tới những key chia sẻ  trước đó, bạn có thể đã đánh dấu sai key trên điểm cuối của kết nối VPN. Nếu lỗi này xảy ra, những bản ghi có thể hiển thị quá trình trao đổi giữa máy trạm và máy chủ  VPN trong chế độ kết hợp bảo mật  chính IKE.

Chỉ một thời gian  ngắn sau khi quá trình trao đổi này diễn ra, log sẽ thông báo  lỗi của key. Trên Concentrator, truy cập  vào Configuration\ System\ Tunneling Protocols, sau đó lựa chọn tùy chọn IPSec LAN-to-LAN và lựa chọn cấu hình IPSec của bạn. Trong trường Preshare Key, nhập những key đã chia sẻ.

Trong hệ thống  tường lửa PIX của Cisco  được sử dụng cùng với Concentrator, chạy lệnh isakmp key password address xx.xx.xx.xx netmask 255.255.255.255, trong đó password là key được chia sẻ  trước đó. Chú ý nhập chính xác  những key được sử dụng trong Concentrator và PIX.

3. Không thể kết nối VPN khi chạy phần mềm bảo mật

Một vài cổng cần được mở trong phần mềm bảo mật  như BlackIce (BlackIce tồn tại một số vấn đề liên quan  tới máy trạm VPN của Cisco), Zone Alarm, Symantec và một số chương trình  bảo mật  Internet  khác cho Windows  cũng như ipchains và iptables của Linux. Nếu người dùng  mở những cổng dưới đây trong phần mềm bảo mật, thì họ vẫn có thể kết nối VPN:

• Cổng 500, 1000 và 10000 của UDP

• Giao thức IP 50 (ESP)

• Cổng TCP được cấu hình cho IPSec/TCP

• Cổng 4500 của NAT-T

Có thể bạn đã cấu hình các cổng cho IPSec/UDP và IPSec/TCP. Bạn cần phải mở những cổng đã cấu hình này trên phần mềm máy trạm.

4. Không thể truy cập  tài nguyên  trên mạng chủ khi kết nối VPN

Lỗi này thường xảy ra khi Split-tunneling bị tắt bỏ. Split-tunnelingcó thể gây ra một số nguy cơ bảo mật, nhưng những nguy cơ này có thểđược hạn chế ở một mức độ nào đó bằng việc sử dụng những chính sách bảomật một cách hợp lý, và những nguy cơ này có thể tự động được phát tánsang các máy trạm khác trong mạng (ví dụ, một chính sách có thể yêu cầucài đặt chương trình  diệt virus  hiện tại hay yêu cầu bật firewall  trênhệ thống). Trên PIX, sử dụng lệnh dưới đây để chạy lại Split-tunneling:
vpngroup vpngroupname split-tunnel split_tunnel_acl

Bạn cần dùng lệnh access-list phù hợp để cho phépnhững địa chỉ IP  truy cập  qua tunnel mã hóa và những địa chỉ được chophép truy cập  qua những tunnel không được mã hóa. Ví dụ, dùng lệnh access-list split_tunnel_acl permit ip 10.0.0.0 255.255.0.0 any để cho phép địa chỉ IP  truy cập  vào cả tunnel mã hóa và tunnel không mã hóa.

Trong Cisco Series 3000 VPN Concentrator, bạn cần khai báo thiết bị cần được hệ thống  mạng đưa vào tunnel mã hóa. Vào Configuration\ User Management\ Base Group, trong tab Client Config lựa chọn tùy chọn Only Tunnel Networks In The List và tạo một danh sách tất cả các mạng cần được VPN theo dõi tại trang của bạn và lựa chọn danh sách mạng này từ hộp Split Tunneling Network List.

5. Xung đột địa chỉ IP

Đây là lỗi đặc trưng của những hệ điều hành  đặc biệt này, và có thể gâynhiều khó khăn khi gỡ rối. Phiên bản  4.6 cho máy trạm VPN của Cisco  đãcố gắng khắc phục  những địa chỉ IP  xung đột này, nhưng không phải lúcnào nó cũng làm được như vậy. Sự xung đột IP này sẽ cản trở việc truyềnlưu lượng qua tunnel của VPN.

Để xử lý lỗi này bạn thực hiện các thao tác sau: Vào menu Start\ Control  Panel\ Network And Dialup Connections\ Local Adapter, sau đó phải chuột lên Adapter chọn Properties. Trong hộp thoại Properties, chọn TCP/IP và click nút Properties. Click vào tùy chọn Advanced, tìm tùy chọn Interface Metric, và đặt trị số trong hộp là 1. Trị số này thông báo  cho máy tính  sử dụng Adapter cụcbộ thứ hai. Adapter của VPN có thể sẽ có trị số sinh trắc là 1 (thấphơn trị số sinh trắc mới), đặt nó là lựa chon đầu tiên như một đích lưulượng.

6. Lỗi firmware  của router trên máy trạm VPN

Máy trạm VPN của Cisco  gặp phải một số vấn đề với một số phiên bảnfirmware của router cũ (thậm chí cả với router mới). Nếu liên tục gặpphải những vấn đề kết nối, bạn nên cập nhật firmware  trong router, đặcbiệt với những router cũ. Máy trạm Cisco  thường gặp phải những lỗi nàykhi sử dụng những loại router sau:

• Linksys BEFW11S4 với firmware  thấp hơn 1.44.

• Asante FR3004 Cable/DSL Routers với firmware  thấp hơn 2.15.

• Nexland Cable/DSL Routers mẫu ISB2LAN.7. Không thể thực hiện kết nối trên máy trạm.

Trong tình huống này, người dùng  sẽ thấy một thông báo  lỗi như sau:

VPN Connection  terminated locally by the Client. Reason 403:
Unable to contact the security gateway.

Lỗi này có thể do 2 trong số 3 lỗi sau gây ra:

• Người dùng có thể đã nhập sai mật khẩu  nhóm.

• Người dùng có thể không nhập đúng tên hay địa chỉ IP  cho điểm cuối VPN từ xa.

• Người dùng có thể đang gặp phải những vấn đề kết nối Internet.

Cơ bản, vì một số lí do nào đó IKE đã không hoạt động. Kiểm tra những bản ghi của máy trạm (được kích hoạt bằng cách vào Log\ Enable) để tìm lỗi trong Hash Verification Failed để khắc phục  chúng.

8. Lỗi thiết lập kết nối VPN từ thiết bị NAT

Sự cố này có thể xảy ra trên tất cả phần cứng VPN của Cisco  khi IPSec được kích hoạt khi cài đặt những tiêu chuẩn cho phép thay đổi tiêu đề gói tin trong khi truyền.

Nếu đang sử dụng hệ thống  firewall  PIX cho hệ thống  firewall  trên máy tính  và điểm cuối VPN. Mở cổng 4500 và kích hoạt NAT-Traversal trong cấu hình bằng lệnh isakmp nat-traversal 20, trong đó 20 là thời gian  hoạt động  của NAT. Nếu có một hệ thống  firewall  riêng và một Cisco  VPN Concentrator, bạn chỉ cần mở UDP cổng 4500 trên hệ thống  firewall  với đích của Concentrator. Sau đó, trên Concentrator vào Configuration\ Tunneling And Security\ IPSec\ NAT Transparency và đánh dấu tùy chọn IPSec Over NAT-T. Ngoài ra, cần đảm bảo mọi máy trạm đang sử dụng phải được hỗ trợ NAT-T.

9. Kết nối không thông suốt

Để khắc phục  lỗi này trước hết bạn cần tắt bỏ chế độ Standby, Hibernate và ScreenSaver. Standby và Hibernatecó thể ngắt kết nối mạng khi máy trạm VPN đợi một liên kết cố định tớimáy chủ VPN. Người dùng  cũng có thể đã cấu hình máy của họ hẹn giờ tắtAdapter mạng sau một khoảng thời gian  nhất định để tiết kiệm  điện năng.

Nếu đang sử dụng wifi, người dùng  có thể đã đang truy cập  với tín hiệuwifi kém, và hậu quả là VPN có thể bị ngắt kết nối. Ngoài ra, ngườidùng cũng gặp phải vấn đề về đường mạng, router hay kết nối Internet,và nhiều lỗi vật lý khác.

Cũng có thể xảy ra trường hợp những địa chỉ IP  trong một điểm cuối của VPN (PIX hay  Concentrator 3000) đã được sử dụng hết cũng có thể gây ra lỗi này trên máy trạm.

10. Máy trạm vẫn hiện trong mạng VPN khi đã hủy kết nối

Một số lỗi khác có thể bao gồm một máy tính  nào đó trong mạng của ngườidùng không thể ping máy VPN dù máy tính  này vẫn thấy tất cả các máykhác trong mạng. Lỗi này xảy ra là do người dùng  có thể đã kích hoạt hệthống firewall  tích hợp trong máy trạm VPN. Sau khi được kích hoạt hệthống firewall  này sẽ luôn chạy ngay cả khi tắt máy trạm. Để khắc phụclỗi này, trước tiên truy cập  vào máy trạm, từ trang tùy chọn, hủy chọnnhững hộp chọn kế tiếp tùy chọn Stateful Firewall.

Hiện tại chưa có bình luận nào về bài viết 10 lỗi thường gặp của VPN và cách khắc phục!

Bạn có ý kiến gì về bài viết 10 lỗi thường gặp của VPN và cách khắc phục này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết 10 lỗi thường gặp của VPN và cách khắc phục bạn tại đây.