Tôi đã thiết lập một đường hầm IPsec trên FortiGate 51E (FortiOS v6.2.10 build1263 (GA)) của chúng tôi và tôi có thể kết nối qua ứng dụng khách Windows gốc của mình, tuy nhiên khi tôi được yêu cầu nhập tên người dùng và mật khẩu, tôi gặp lỗi " kết nối từ xa bị từ chối vì tổ hợp tên người dùng và mật khẩu bạn cung cấp không được nhận dạng hoặc giao thức xác thực đã chọn không được phép trên máy chủ truy cập từ xa. "

Tôi đã thử các kết hợp tên người dùng khác nhau của mình từ tên người dùng trên Active Directory, địa chỉ email, domain \ username, [email protected] và tên người dùng FortiGate. Không ai trong số này dường như muốn xác thực. Có lẽ tôi gặp sự cố cấu hình trên máy khách Windows hoặc trên FortiGate?

Cũng cần lưu ý rằng tôi đã thiết lập FortiGate SSL-VPN và sử dụng FortiClient một cách chính xác và xác thực qua LDAP. Vì vậy, xác thực LDAP giữa FortiGate và Active Directory đang hoạt động.

Các cấu hình bên dưới:

config vpn l2tp
set eip 10.0.100.199
set sip 10.0.100.1
set status enable
set usrgrp "FortiClient Users"
end

config user group
edit "FortiClient Users"
set member "DC1.domain.tld" "User 1"
config match
edit 1
set server-name "DC1.domain.tld"
set group-name "CN=FortiClient.Users,OU=Security.Groups,OU=CORP,DC=domain,DC=tld"
next
end
next
end

config vpn ipsec phase1
edit "WIN-IPsec_p1"
set type dynamic
set interface "wan1"
set peertype any
set proposal aes256-md5 3des-sha1 aes192-sha1
set dhgrp 2
set psksecret ENC base64
set dpd-retryinterval 60
next
end

config vpn ipsec phase2
edit "WIN-IPsec_p2"
set phase1name "WIN-IPsec_p1"
set proposal aes256-md5 3des-sha1 aes192-sha1
set pfs disable
set encapsulation transport-mode
set keylifeseconds 3600
next
end

config firewall policy
edit 27
set name "WIN-IPsec to Internet"
set uuid ac74e9cc-6fed-51ec-7ad2-0df13b167bbe
set srcintf "vsw.FortiSwitch"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action ipsec
set schedule "always"
set service "ALL"
set fsso disable
set vpntunnel "WIN-IPsec_p1"
next
edit 28
set name "WIN-IPsec to LAN"
set uuid aea950b0-6fee-51ec-2e71-63ba80754538
set srcintf "wan1"
set dstintf "vsw.FortiSwitch"
set srcaddr "IPsec.VPNRange"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set fsso disable
set nat enable
next

config firewall address
edit "IPsec.VPNRange"
set uuid 34cf43d0-6fee-51ec-5dc2-71b54eac4587
set type iprange
set start-ip 10.0.100.1
set end-ip 10.0.100.199
next

Máy khách gốc Windows:

PowerShell: Get-VpnConnection -Tên IPsec

Name : IPsec
ServerAddress : 1.2.3.4
AllUserConnection : False
Guid : {6DF154C4-82FB-4E4C-BE77-2908FBE2E646}
TunnelType : L2tp
AuthenticationMethod : {Eap, MsChapv2}
EncryptionLevel : Optional
L2tpIPsecAuth : Psk
UseWinlogonCredential : False
EapConfigXmlStream :
ConnectionStatus : Disconnected
RememberCredential : True
SplitTunneling : False
DnsSuffix :
IdleDisconnectSeconds : 0

Windows 10 IPsec được thiết lập để cho phép các phương pháp bảo mật này cũng được xác định trong đề xuất giai đoạn 1/2 của tôi:

nhập mô tả hình ảnh ở đây

Tôi đã có thể đạt được một số bước tiến bằng cách thay đổi máy khách VPN gốc của Windows để sử dụng cấu hình này nhưng vẫn không thành công:

nhập mô tả hình ảnh ở đây

Sau khi kiểm tra trình xem sự kiện trong Windows, tôi thấy các sự kiện sau theo trình tự này:

CoId = {CC3D0ED6-03D3-0002-7493-48CCD303D801}: Tên miền người dùng \ người dùng đã bắt đầu quay số kết nối VPN bằng cấu hình kết nối cho mỗi người dùng có tên IPsec. Cài đặt kết nối là: Người dùng quay số = VpnStrategy = L2TP DataEncryption = Yêu cầu tiên quyết IpDnsFlags = IpNBTEnabled = Có UseFlags = Private Connection ConnectOnWinlogon = Không xác thực IPsec cho L2TP = Khóa chia sẻ trước.


CoId = {CC3D0ED6-03D3-0002-7493-48CCD303D801}: Tên miền người dùng \ người dùng đang cố gắng thiết lập một liên kết đến Máy chủ Truy cập Từ xa cho kết nối có tên IPsec bằng thiết bị sau: Địa chỉ máy chủ / Số điện thoại = 1.2.3.4 Thiết bị = Cổng WAN Miniport (L2TP) = VPN4-1 MediaType = VPN.


CoId = {CC3D0ED6-03D3-0002-7493-48CCD303D801}: Tên miền người dùng \ người dùng đã thiết lập thành công liên kết đến Máy chủ truy cập từ xa bằng thiết bị sau: Địa chỉ máy chủ / Số điện thoại = 1.2.3.4 Thiết bị = WAN Miniport (L2TP) Cổng = VPN4-1 MediaType = VPN.


CoId = {CC3D0ED6-03D3-0002-7493-48CCD303D801}: Liên kết đến Máy chủ Truy cập Từ xa đã được thiết lập bởi miền người dùng \ người dùng.


ID sự kiện: 20291, Rasclient IPsec yêu cầu chú ý.


CoId = {CC3D0ED6-03D3-0002-7493-48CCD303D801}: Miền người dùng \ người dùng đã quay số một kết nối có tên IPsec đã bị lỗi. Mã lỗi được trả về khi không thành công là 0.


Kết nối không thành công với sự kiện Event ID: 20291, Rasclient - IPsec yêu cầu chú ý.

no answer