VPN—PPTP/L2TP VPN常见问题解答

1．通过Ping测试与VPN服务器的连通性：

测试时注意关闭TL-ER6110/6120“安全管理”-->“攻击防护”-->“防止WAN口ping”。

注意：如果您VPN服务器远端管理使用的是域名，那么在ping这个域名的时候需要注意一下解析出来的IP是否是您服务器WAN口的IP。

2．检查主机前端路由器防火墙是否将PPTP、L2TP相应端口屏蔽：PPTP使用TCP 1723端口，L2TP使用UDP 1701端口。

3．检查服务器设置是否正确：包括服务器是否启用，账号以及VPN类型设置是否正确：

4．检查客户端设置：

1）检查服务器地址（IP或者域名）设置是否正确：

2）检查VPN类型选择是否正确：

3）检查用户名密码设置是否正确：

5．两种特殊的问题：

1）当选择L2TP IPSEC VPN时，系统拨号失败

解决方法：

(1)确认L2TP服务器已经启用了IPsec功能；

(2)确认L2TP服务器中的密钥和客户端中的密钥是否一致；

服务器：

客户端：L2TP客户端-->属性-->安全-->IPsec设置

(3)上述两步设置好之后，如果还是拨号失败：

①修改注册表:将prohibiteIPsec项删除或将其dword值修改为“0”：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]

"ProhibitIpSec"=dword:00000000

②将Windows系统的IPsec services服务开启

2）PPTP Windows拨号提示743错误

Windows系统PPTP拨号提示“743错误，远程服务器要求数据加密”，原因：VPN服务器没有进行加密,而Windows系统自带PPTP客户端默认强制要求加密。

解决方法：

(1)在PPTP服务器中，将加密状态设置为启用。

(2)PPTP客户端-->属性-->安全，查看“要求数据加密”是否打勾。

6．若以上步骤设置均正常，则有可能是前端路由器不支持VPN穿透，建议您电脑直接连外网测试。

问题二：拨号成功，但是不能访问对端内网，怎么解决？

1．本地子网与对端内网不能在同一网段；

2．检查对端内网主机的网关是否是vpn服务器的lan口地址；

3．检查“在远程网络上使用默认网关”是否打勾：

1）桌面网上邻居右键→选择“属性”→在虚拟专用网络列图标上右键选择“属性”

2）“网络”选项，“Internet协议（TCP/IP）”→属性

3）选择“高级”

4）在“常规”选项里勾上“在远程网络上使用默认网关”

4．如果vpn服务器里做了pppoe服务器，并且启用了强制pppoe拨号，那么vpn客户端只能访问pppoe拨号上网的主机，而不能访问对端子网的其他主机。如果想要访问对端子网的全部主机，就要禁用强制pppoe拨号。

在ER6系列的“系统服务”的“PPPOE服务器”选项的“全局配置”里可以进行设置。

5．服务器里做了访问控制时，建议先将访问规则删除测试。

6．内网主机是否开启了防火墙，如果开启请关闭。

问题三：拨号成功，想既访问对端内网又能访问Internet，该怎么设置？

方法一：

1．配置好PPTP服务器和客户端，参照：ER6系列路由器应用——PPTP/L2TP VPN配置实例

2．根据问题二中第三点设置，勾选上“在远程网络上使用默认网关”同时在ER6系列路由器上勾上“启用VPN-to-Internet通道”（VPN-->PPTP/L2TP-->PPTP/L2TP隧道设置）；

方法二：

1．配置好PPTP服务器和客户端，参照：ER6系列路由器应用——PPTP/L2TP VPN配置实例

2．根据问题二中第三点设置，取消勾选“在远程网络上使用默认网关”

3．查看PPTP、L2TP拨号获取到的隧道地址：拨号成功后，双击VPN连接图标，点击“详细信息”，“客户端IP地址”即为VPN拨号获取到的IP。

4．添加到远程局域网的静态路由：（此处远端内网网段为“192.168.0.0/24”）

运行命令提示符，输入：route add 192.168.0.0 mask 255.255.255.0 10.1.1.16

设置完成后，主机既可以上网，又可以同时访问远端局域网。

注意事项：本地连接地址与远端局域网地址不能位于同一网段，否则即使VPN拨号成功，也无法访问远端内网。经常有用户在拨移动用户VPN的时候出现了错误800，原因有如下几点：

1.VPN是通过动态域名互联的如图7所示，如long.iplink.com.cn，出现错误800如图6所示，有可能是VPN服务器端DDNS没有更新成功（高级配置---DDNS配置）。解决方法：在VPN服务器端将DDNS更新成功即可。

2.如果服务器端DDNS已经更新成功，出现错误800，那么有可能是移动用户端无法解析到该动态域名导致，用户可以通过ping该域名，是否有看到IP地址来测试，如果没有则解析不了该动态域名。建议用户更改DNS地址测试，如：8.8.8.8或者8.8.4.4。

3.如果不是上述两种情况，或者采用的是公网IP地址互联的VPN，出现了错误800。可以通过开启VPN服务器端的响应外部ping，测试移动用户到VPN服务器端的连通性。如果是ping不通的话，运营商互联互通问题艾泰路由器不能解决。

600某一操作当前处于挂起状态。（例如拨号时突然点了取消，帐号卡住）解决办法：等待或者打电话给ISP
601端口句柄无效。
602端口已打开。
603呼叫方缓冲区太小。
604指定了错误的信息。
605无法设置端口信息。
606无法连接端口。一般是防火墙问题或者是网关管理员限制
608设备不存在。硬件驱动丢失或硬件损坏
610缓冲区无效。
611路由不可用。
612没有分配路由。
613指定了无效的压缩。
614缓冲区溢出。
615找不到端口。
616某异步请求处于挂起状态。
617端口或设备已断开连接。
618端口尚未打开。（解决办法：请打开在相应防火墙软件里，打开1701和1723端口，这是VPN拨号需要的端口）
619端口已断开连接。（解决办法：请注意1701和1723这2个端口是否给其它软件占用，
以上2个问题中，如果你在局域网，请确认主机是否有限制（大部分网吧，公司内网的主机都有限制）
620没有终结点。
621无法打开电话簿文件。
622无法加载电话簿文件。
623找不到电话簿条目。
624无法写入电话簿文件。
625在电话簿中发现无效信息。
626无法加载字符串。
627找不到密钥。
628端口已断开连接。
629端口已由远程机器断开连接。一般是用户名格式不正确，或者远程机器故障
630端口由于硬件故障已断开连接。
631端口已由用户断开连接。
632结构大小不正确。
633端口已被使用或不是为远程访问拨出配置的。
634无法在远程网络上注册您的计算机。
635未知错误。
636端口连接了错误的设备。
637无法转换字符串。
638请求已超时。（解决办法：请尝试多连接几次）
639没有可用的异步网络。
640出现NetBIOS错误。
641服务器无法分配需要用来支持客户端的NetBIOS资源。
642您的一个NetBIOS名称已在远程网络上注册。
643服务器上的网卡失败。
644您将无法接收弹出的网络信息。
645内部身份验证错误。
646不允许本帐户在此时间登录。
647帐户已禁用。（解决办法：请到官方网站获取最新账号/密码）
648密码已过期。（解决办法：请到官方网站获取最新账号/密码）
649帐户没有远程访问权限。
650远程访问服务器没有响应。 )
651您的调制解调器(或其它连接设备)报告了一个错误。（解决办法：服务器人数已满，请换其他服务器进行连接）
652无法识别来自该设备的响应。
653在设备.INF文件段中找不到设备所需的宏。
654在设备.INF文件段中的命令或响应引用了未定义的宏
655在设备.INF文件段中找不到<message>宏。
656在设备.INF文件段的<defaultoff>宏中包含未定义的宏
657无法打开设备.INF文件。
658设备.INF或媒体.INI文件中的设备名太长。
659媒体.INI文件引用了未知设备名。
660设备.INF文件中不包含任何命令的响应。
661设备.INF文件中缺少一个命令。
662试图设置设备.INF文件段中未列出的宏。
663媒体.INI文件引用了未知设备类型。
664无法分配内存。
665端口不是为远程访问配置的。
666您的调制解调器(或其它连接设备)不起作用。
667无法读取媒体.INI文件。
668连接已断开。（解决办法：请重新连接）
669媒体.INI文件中的参数用法无效。
670无法从媒体.INI文件中读取段名。
671无法从媒体.INI文件中读取设备类型。
672无法从媒体.INI文件中读取设备名。
673无法从媒体.INI文件中读取用法。
674无法从媒体.INI文件中读取最大连接BPS频率。
675无法从媒体.INI文件中读取最大波载BPS频率。
676线路忙。（解决办法：请尝试多连接几次）
677是某人而不是调制解调器应答。（原因：有电话打进）
678没有应答。（解决办法：可能是服务器人数过多，请尝试多连接几次；也可能是你装反了客户端，请重新安装客户端）
679无法检测载波。
680没有拨号音。（解决办法：请检查你的网络是否连接正常）
681设备报告了常见错误。
682写入SECTIONNAME时出错
683写入DEVICETYPE时出错
684写入DEVICENAME时出错
685写入MAXCONNECTBPS时出错
686写入MAXCARRIERBPS时出错
687写入用法时出错
688写入DEFAULTOFF时出错
689读取DEFAULTOFF时出错
690清空INI文件时出错
691由于域上的用户名和/或密码无效而拒绝访问。这是最常见的错误，一般就是用户名密码错误或者欠费停机了（解决办法：请到官方网站获取最新账号/密码，注意区分大小写）
692端口或连接的设备硬件故障。
693错误，不是二进制宏
694错误，找不到DCB
695错误，状态机器没有开始
696错误，状态机器已经开始
697错误，响应环不完整
698设备.INF文件中的响应键名不符合所需格式。
699设备响应导致缓冲区溢出。
700设备.INF文件中的扩展命令太长。
701设备采用了COM驱动程序不支持的BPS频率。
702意外地收到了设备响应。
703错误的交互模式
704错误，回拨号码不对
705错误，无效的身份验证状态
706写入INITBPS时出错
707X.25诊断指示。
708帐户已过期。（解决办法：请到官方网站获取最新账号/密码）
709在域上更改密码时出错。
710与您的调制解调器通信时检测到序列溢出错误。
711RasMan初始化失败。检查事件日志。
712双向传输端口正在初始化。请等待几秒钟再重拨号。
713没有活动的ISDN线路可用。
714没有足够的ISDN通道可用于实现此调用。
715电话线质量太差，发生太多错误。
716远程访问IP配置无法使用。
717静态远程访问IP地址池中无可用的IP地址。
718PPP超时。
719PPP已由远程机器终止。
720未配置PPP控制协议。（解决办法：可能服务器问题，非用户问题，请向管理员反映；可能是服务器人过多，你可以尝试多连几次）
721远程PPP对等机不响应。
722PPP数据包无效。
723包括前缀和后缀的电话号码太长。
724IPX协议无法在此端口拨出，因为此计算机是IPX路由器。
725IPX协议无法在此端口拨入，因为未安装IPX路由器。
726IPX协议不能同时在一个以上的端口上用于拨出。
727无法访问TCPCFG.DLL。