L2TP/IPSec mit Zertifikaten: Teil 6 - Troubleshooting

Autor: Claus Greck [MVP], MCSEboard.de

Das Troubleshooting bei einem erfolglosen VPN-Aufbau gestaltet sich meist etwas schwierig.

Die Fehlerursache zu finden, ist deshalb in vielen Fällen nicht einfach, weil

VPN-Server und VPN-Client meistens räumlich sehr weit voneinander entfernt sind

Fehlermeldungen des Computers in der Regel vom RAS-Dienst generiert werden, und diese nicht immer ausführlich genug in der Microsoft Knowledge Base behandelt werden.

Teilweise ein tiefer gehendes Wissen um den RAS-Dienst, das L2TP-Protokoll und IPSec-Verschlüsselung erforderlich ist.

Vor allem sollte man für ein ordentliches Troubleshooting insbesondere an den VPN-Server herankommen, denn die meisten Fehler können behoben werden, wenn man den Verbindungsaufbau am VPN-Server mitverfolgen kann. Im LAN funktionieren die meisten eingerichteten L2TP in der Regel problemlos, deshalb sollte dort nach Möglichkeit der erste Funktionstest stattfinden. Funktioniert der Verbindungsaufbau bereits hier im LAN nicht, dann kann man Client und Server relativ einfach in räumliche Nähe zueinander bringen, um den Verbindungsaufbau selber mitzuverfolgen und auswerten zu können. Falls man die Möglichkeit hat, dabei auch gleich einen Verbindungstest per WAN durchzuführen, sollte man das unbedingt tun, und erst dann den Client außer Haus bringen.

Dieser Teil des Tutorials versucht so gut es geht, bei der Fehlersuche bei L2TP mit Zertifikaten zu helfen. Ich werde dabei aber weder alle Fehlerursachen berücksichtigen noch auf individuelle Situationen eingehen können.

Auch die möglichen Erklärungen, die im Folgenden für einzelne Fehlernummern gegeben werden, sind mit Sicherheit nicht umfassend, RAS gehört scheinbar zu den Diensten, bei denen Fehler mit vielen, auch unterschiedlichen, Fehlernummern abgefangen wurden.

Da dieser Teil 6 des Tutorials etwas umfangreicher ist, habe ich ihn in mehrere Abschnitte aufgegliedert.