Cette rubrique décrit les problèmes courants de configuration liés à VPN L2.

Dans la procédure suivante :
  • Les étapes 1, 2 et 3 sont applicables uniquement lorsque le service VPN L2 est exécuté sur un tunnel SSL.
  • Les étapes 4, 5 et 6 sont applicables lorsque le service VPN L2 est exécuté à la fois sur des tunnels SSL et IPSec.

Problème

Les problèmes de configuration suivants sont spécifiques aux clients VPN L2 qui utilisent des tunnels VPN SSL pour le trafic de routage :
  • Le client VPN L2 est configuré, mais le pare-feu Internet n'autorise pas la circulation du trafic dans le tunnel via le port de destination 443.
  • Le client VPN L2 est configuré pour valider le certificat du serveur, mais il n'est pas configuré avec le certificat d'autorité de certification ou le nom de domaine complet qui convient.
Les problèmes de configuration suivants sont courants chez les clients VPN L2 qui utilisent des tunnels VPN SSL ou des tunnels VPN IPSec pour le trafic de routage :
  • Le serveur VPN L2 est configuré, mais la règle du NAT ou du pare-feu n'est pas créée sur le pare-feu Internet.
  • L'interface de carte réseau virtuelle n'est pas soutenue par un groupe de ports distribué ou un groupe de ports standard.
Note : Pour un VPN L2 exécuté sur des tunnels SSL, n'oubliez pas que :
  • Le serveur VPN L2 écoute sur le port 443 par défaut. Ce port est configurable à partir des paramètres du serveur VPN L2.
  • Le client VPN L2 lance une connexion sortante vers le port 443 par défaut. Ce port est configurable à partir des paramètres du client VPN L2.

Solution

  1. Vérifiez que le processus du serveur VPN L2 est en cours d'exécution.
    1. Connectez-vous à la machine virtuelle NSX Edge.
    2. Exécutez la commande show process monitor et vérifiez si vous pouvez trouver un processus portant le nom l2vpn.
    3. Exécutez la commande show service network-connections et vérifiez si le processus l2vpn écoute sur le port 443.
  2. Vérifiez que le processus du client VPN L2 est en cours d'exécution.
    1. Connectez-vous à la machine virtuelle NSX Edge.
    2. Exécutez la commande show process monitor, puis vérifiez si vous pouvez trouver un processus portant le nom naclientd.
    3. Exécutez la commande show service network-connections, puis vérifiez si le processus naclientd écoute sur le port 443.
  3. Vérifiez que le serveur VPN L2 est accessible via Internet.
    1. Ouvrez le navigateur, puis rendez-vous sur https://<l2vpn-public-ip>.
    2. Une page de connexion au portail doit s'afficher. Si la page du portail s'affiche, cela signifie que le serveur VPN L2 est accessible via Internet.
  4. Vérifiez que l'interface de jonction est soutenue par un groupe de ports distribué ou par un groupe de ports standard.
    1. Si l'interface de carte réseau virtuelle est soutenue par un groupe de ports distribué, un port de réception est défini automatiquement.
    2. Si l'interface de jonction est soutenue par un groupe de ports standard, vous devez configurer manuellement le commutateur vSphere Distributed Switch comme suit :
    • Donnez au port le mode de promiscuité (promiscuous).
    • Donnez à l'option Transmissions forcées (Forged Transmits) la valeur Accepter (Accept).
  5. Limitez le problème de bouclage VPN L2.
    1. Deux problèmes majeurs sont observés si l'association de cartes réseau n'est pas configurée correctement : papillonnement d'adresse MAC et doublons de paquets. Vérifiez la configuration comme décrit dans Options L2VPN pour limiter le bouclage
  6. Vérifiez que les machines virtuelles du VPN L2 peuvent communiquer entre elles.
    1. Connectez-vous à la CLI du serveur VPN L2, puis capturez le paquet sur l'interface tactile correspondante debug packet capture interface name.
    2. Connectez-vous au client VPN L2, puis capturez le paquet sur l'interface tactile correspondante debug packet capture interface name.
    3. Analysez ces captures pour vérifier si l'ARP est en cours de résolution et la circulation du trafic des données.
    4. Vérifiez si la propriété Allow Forged Transmits: dvSwitch est définie sur le port de carte réseau virtuelle VPN L2.
    5. Vérifiez si le port de réception est défini sur port de carte réseau virtuelle du VPN. Pour ce faire, connectez-vous à l'hôte et émettez la commande net-dvs -l. Vérifiez que la propriété de réception est bien définie pour le port interne Edge VPN L2 (com.vmware.etherswitch.port.extraEthFRP = SINK). Le port interne renvoie au dvPort à laquelle la carte réseau virtuelle NSX Edge est connectée.
    La sortie de commande indique l'activation du port de réception pour le dvPort auquel l'interface de jonction Edge est connectée.