1 – O utilizador não consegue aceder (por nome) aos servidores de ficheiros.
PROBLEMA
Se um utilizador consegue aceder ao servidor de ficheiros por IP mas não consegue aceder por nome, a razão mais provável para isto acontecer é ser um problema de resolução de nomes. A resolução de nomes pode ser feita por dois serviços, NetBIOS[1] e DNS, e pode falhar para os dois.
CAUSA
Se o sistema operativo do cliente é dependente de NetBIOS (Windows), o cliente VPN deverá ter associado um endereço WINS dado pelo servidor VPN. Alternativamente, se o S.O. usa DNS para fazer a resolução por nome, o cliente VPN deve ser associado a um Servidor DNS interno que faça a resolução de nomes de anfitrião.
SOLUÇÃO
Quando a resolução de nomes é feita por NetBIOS, pode evitar-se que haja problemas no acesso a recursos da rede simplesmente por alterar o Grupo de Trabalho que está definido no Cliente VPN de modo a que coincida com o Grupo de Trabalho definido no Servidor.
Se a resolução de nomes de anfitriões é feita por um servidor DNS interno o problema poderá também ser resolvido alterando o Grupo de Trabalho para que coincida com o do Servidor. Não funcionando, poderá haver mesmo um problema com o DNS em uso no servidor.
2 - O utilizador não consegue aceder a nenhum recurso dentro da rede corporativa.
PROBLEMA
Por vezes, os clientes VPN conseguem ligar-se ao servidor VPN mas estão impossibilitados de aceder a qualquer recurso dentro da rede corporativa. Não conseguem resolver nomes de anfitriões e também não conseguem “pingar” nenhum recurso na rede corporativa.
CAUSA
A razão mais comum para este problema é o utilizador estar ligado numa rede com a mesma gama de IP que a rede corporativa que está por trás do servidor VPN. Por exemplo, o utilizador está ligado numa rede de um hotel com uma gama de IP 10.0.0.0/24. Se a rede corporativa também estiver na mesma gama (10.0.0.0/24) o utilizador não conseguirá estabelecer ligação porque o software de VPN vai interpretar que o destino está na rede local e logo não estabelece a ligação. Outra razão para falhas de comunicação poderá ser que os Clientes VPN não tenham permissões para aceder a recursos na rede corporativa devido a regras de firewall no servidor/firewall VPN.
SOLUÇÃO
A solução dependerá do tipo de problema:
- Se for um problema de endereçamento, será necessário alterar a gama de endereços de uma das extremidades da VPN.
- Se o problema for relacionado com permissões de firewall, a solução passará por criar regras para cada um (ou todos) dos Clientes VPN que acedem à VPN e que necessitam de usar os recursos.
3 – Velocidade lenta na ligação VPN.
PROBLEMA
Velocidade lenta numa VPN é um dos problemas mais difíceis de resolver. Há várias razões para este problema e o mais importante é que o cliente VPN forneça informação detalhada sobre o problema e que descreva exactamente o que está a efectuar na VPN. Este problema pode também manifestar-se por quebras na ligação.
CAUSA
Uma das razões mais comuns para instabilidade e/ou velocidade lenta numa VPN poderá ser, o cliente estar a usar numa rede DSL que usa PPPoE. Estas ligações têm problemas frequentes com MTU[2] (Maximum Transmission Unit), o que pode causar problemas de conectividade e instabilidade.
SOLUÇÃO
A solução para este problema poderá passar por alterar o MTU para PPPoE, esta alteração poderá ser feita tanto no editor de registos como na página de administrador de um router ADSL. Por vezes será suficiente alterar a MTU no router, mas persistindo o problema deverá também alterar-se no editor de registos.
4 – O utilizador consegue ligar-se por PPTP mas não consegue ligar-se por L2TP/IPSEC.
PROBLEMA
Pode acontecer que por vezes se consiga estabelecer a ligação por PPPT mas não por L2TP.
CAUSA
O protocolo PPTP é um protocolo muito simples para configurar tanto o servidor como os clientes VPN. Tudo que o utilizador necessitará é de um software VPN (já incluído no Windows) e de credenciais válidas para iniciar uma sessão autorizada. Dada a sua simplicidade, o servidor PPTP VPN ficará a funcionar automaticamente após executar um assistente de configuração.
O L2TP/IPSec é mais complexo. Esta complexidade deve-se principalmente ao facto de uma VPN L2TP/IPSec necessitar de autenticação de máquina e de utilizador. A autenticação de máquina pode ser efectuada através de certificados ou palavra passe (não recomendada por questões de segurança). A autenticação de utilizador é feita através de credenciais de acesso.
SOLUÇÃO
Havendo dificuldades na autenticação L2TP/IPsec terá que se confirmar as seguintes configurações:
Se a autenticação de máquina está a ser feita por certificados – Confirmar que o cliente VPN (máquina) tem um certificado válido e que a fonte emissora do certificado é uma fonte fidedigna.
Se a autenticação de máquina está a ser feita por credenciais – Confirmar que as credenciais no Cliente VPN coincidem com as memorizadas no servidor.
5 – A ligação ponto a ponto é estabelecida, mas não há tráfego (comunicação) entre os Gateways.
PROBLEMA
Quando se estabelecem ligações VPN entre Servidores Windows, pode acontecer que a ligação é estabelecida mas não há tráfego entre dos dois pontos. Este problema acontece quando os endereços dos dois Gateways têm IP’s na mesma gama. Quando o serviço RRA[3] do Windows (Routing and Remote Access Service) tenta fazer o roteamento dos pacotes, terá problemas em distinguir os extremos da ligação.
CAUSA
A causa para este problema será, mais uma vez a mesma gama de endereços nas extremidades do túnel.
SOLUÇÃO
A solução para este problema passará por alterar o esquema de endereçamento da rede numa das redes para que as redes nas extremidades do túnel não tenham a mesma gama de IP.
6 – O utilizador não consegue estabelecer o túnel quando o servidor VPN está atrás de firewall com NAT.
PROBLEMA
Frequentemente, a ligação VPN falha quando se usa um túnel IPsec ou uma ligação VPN L2TP/IPsec NAT-T. Por vezes este erro acontece após outro utilizador já ter estabelecido a ligação com as mesmas configurações.
CAUSA
A razão para este problema é que nem todos os Servidores VPN IPsec em NAT-T cumprem os requisitos RFC[4]. Os requisitos RFC obrigam a que o servidor VPN com NAT-T possua negociação IKE[5] a partir da porta UDP500 e que seja capaz de gerir múltiplas ligações no mesmo gateway VPN.
SOLUÇÃO
Este problema não é comum, e a aparecer será impossível para nós resolver a questão telefonicamente, isto porque a solução passará por update de firmware do router onde está configurada a VPN.
7 - O utilizador não consegue aceder a alguns endereços na rede
PROBLEMA
Por vezes é impossível ao utilizador aceder a alguns endereços dentro da rede VPN. Este erro acontece depois de estar ligado à rede VPN. Neste caso é também impossível “pingar” o endereço, tanto por nome como por IP.
CAUSA
Uma razão comum para este problema é que o servidor VPN pode não ter as entradas definidas na Tabela de Roteamento[6] para todos os clientes que estão ligados à rede VPN.
SOLUÇÃO
A solução passará por popular a Tabela de Roteamento no Servidor VPN de modo a que haja um gateway definido para todos os endereços que precisem de ser ligados na VPN.
8 – O utilizador não consegue aceder à internet quando está ligado ao servidor VPN
PROBLEMA
Por vezes acontece que o utilizador não consegue aceder à internet após ter estabelecido a ligação VPN. Uma vez desligado da VPN consegue novamente aceder à internet sem problemas.
CAUSA
Este problema acontece quando o Cliente VPN está configurado para utilizar o Servidor VPN como gateway pré-definido. Esta é a configuração padrão para o software de Cliente VPN Windows. Uma vez que os anfitriões Internet estão afastados do Servidor VPN, as ligações Internet são roteadas para o Servidor VPN. Se o Servidor não está configurado para permitir ligações Internet para os Clientes VPN a ligação à Internet irá falhar.
SOLUÇÃO
A Solução para este problema passará por configurar o Servidor VPN para permitir o acesso à internet aos clientes VPN. O serviço RRAS e a grande maioria das Firewall suportam esta configuração. Deve evitar-se a todo o custo o uso do Servidor VPN como gateway pré-definido, já que esta configuração permite o “Split Tunneling[7]”, que é um risco comum neste tipo de configurações.
NOTAS:
[1] NetBIOS (Network Basic Input/Output System) – É um componente de rede (no Windows) responsável por fazer o mapeamento de IP. O que faz é usar a diferenciação por nome (16 caracteres) para distinguir as várias máquinas numa rede.
[2] MTU (Maximum Transmission Unit) – Representa o tamanho (em Bytes) máximo que um pacote pode ter quando enviado em determinada rede.
[3] Serviço RRA – O Routing and Remote Access Service é responsável por executar serviços de roteamento em ambientes de redes LAN e WAN nos Sistemas Operativos Windows 2000 Serve, Windows Server 2003 e 2008. Mais informação: http://technet.microsoft.com/en-us/network/bb545655.aspx
[4] RFC (Request for Comment) – Os RFC são memorandos publicados pela IETF (Internet Engineering Task Force) onde são descritos os métodos, comportamentos e funcionamento das inovações aplicáveis à internet. Estes memorandos estão disponíveis durante uns tempos para análise geral até que sejam aceites pela comunidade como funcionais.
[5] IKE (Internet Key Exchange) – O Internet Key Exchange é o protocolo responsável por estabelecer um SA (Security Association) num protocolo IPsec. O objectivo deste protocolo é negociar e estabelecer a segurança numa fase inicial da ligação.
[6] Tabela de Roteamento (Routing Table ou Routing Information Base) – É uma estrutura de dados, em forma de tabela que contém as listas de rotas para os endereços de rede.
[7] Split Tunneling – Quando o utilizador acede à VPN e a uma LAN/WAN ao mesmo tempo e com o mesmo endereço físico. Este tipo de múltipla ligação é possibilitado com o uso de Softwares de Cliente VPN.