Ошибка сопоставления групповой политики ikev2 windows 10

Обновлено: 06.07.2024

Пролог:
Прочел все мануалы по IPsec на DFL.
Затем прочел все мануалы по IPsec на других устройствах, которые смог найти.
Попробовал различные комбинации.

Вводная: имеется DFL-260 со статическим белым адресом с одноранговой локалью за ним. Хочу подключаться к этой локалке через IPsec туннель с мобильной связи, из любой точки. Т. е. подключаться придется зачастую с динамического серого (NAT) адреса.

Пробовал подключаться:
1. штатными средствами Win7 (L2TP IPsec VPN, IKEv2) (NAT);
2. штатными средствами Android (L2TP/IPSec PSK, IPSec Xauth PSK) (мобильный интернет - NAT);
3. штатными средствами Ios (IKEv2, IPSec, L2TP) (мобильный интернет - NAT).

1. При попытке подключения с Win7 по L2TP IPsec VPN, выдается ошибка 788: Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
В логах на DFL следующее:

Я так понимаю, первая фаза(ike) проходит нормально, а вторая(ipsec) прерывается из-за несоответствия внешнего ip и "id" инициатора туннеля. Если я прав, то что с этим делать?

При попытке подключения по IKEv2, Win7 выдает ошибку 13868: Ошибка сопоставления групповой политики.
В логах DFL следующее:


2. При попытке подключения с Android по L2TP/IPSec PSK, соединение висит в состоянии "подключение", затем, спустя секунд 30 - "сбой".
В логах DFL следующее:

Тут, я так понимаю, не угадал с набором алгоритмов первой фазы. Как их следует изменить?

При попытке подключения с Android по IPSec Xauth PSK, соединение висит в состоянии "подключение", затем, спустя секунд 30 - "сбой".
В логах DFL то же самое. (хотя, при каких-то других параметрах, в логе было что-то похожее на несоответствие IP и ID)

3. При попытках подключения Ios по IKEv2 и IPSec содержимое лога идентичное ситуации, когда неверно подобраны алгоритмы 1 фазы.
При попытке подключения по L2TP - несоответствие IP и ID.

Как быть, куда копать? Вообще, возможно ли поднятие туннеля в таких условиях?

коррумпированная локальная групповая политика

Поврежденная локальная групповая политика может вызвать много проблем, и, говоря о проблемах, вот некоторые распространенные проблемы, о которых сообщают пользователи:

  • Registry.pol не обновляется, не создается — файл Registry.pol отвечает за параметры вашей групповой политики, и вы можете решить большинство проблем с групповой политикой, просто воссоздав этот файл.
  • Папка групповой политики отсутствует в system32. Иногда папка групповой политики может отсутствовать, но эту проблему можно устранить, выполнив сканирование SFC и DISM.
  1. Удалить или переместить файл registry.pol
  2. Переместить или удалить файл secedit.sdb
  3. Использовать командную строку
  4. Выполните сканирование DISM и SFC
  5. Отключить клиент служб сертификации — политика регистрации сертификатов
  6. Удалить содержимое папки «История»
  7. Выполните восстановление системы
  8. Выполните обновление на месте или перезагрузите Windows 10

Решение 1 — Удалить или переместить файл registry.pol

Все параметры вашей групповой политики хранятся в файле registry.pol, и вы можете решить эту проблему, просто удалив или переместив этот файл. Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

Registry.pol не обновляется

  1. Откройте проводник .
  2. В проводнике вставьте C: \ Windows \ System32 \ GroupPolicy \ Machine \ в адресную строку и нажмите Enter . Переход вручную в этот каталог может не работать, поскольку папка «Компьютер» скрыта, но при желании вы можете открыть скрытые файлы и вручную перейти в этот каталог.
  3. Теперь найдите файл registry.pol и переместите или удалите его. Более безопасный вариант — перенести его на рабочий стол, поскольку вы можете восстановить этот файл, если возникнут какие-либо новые проблемы.

После перемещения или удаления этого файла вам нужно будет выполнить одну команду в командной строке, чтобы воссоздать этот файл и восстановить исходные значения групповой политики. Для этого просто выполните следующие действия:

Как только ваш компьютер перезагрузится, файл registry.pol будет воссоздан, и проблема должна быть полностью решена. Многие пользователи сообщили, что это решение исправило их проблему с поврежденной локальной групповой политикой, поэтому обязательно попробуйте ее.

Решение 2. Переместите или удалите файл secedit.sdb.

Другой причиной для поврежденной локальной групповой политики может быть файл secedit.sdb . Удалив этот файл, вы сбросите настройки групповой политики по умолчанию. Чтобы удалить или переместить этот файл, вам просто нужно сделать следующее:

После этого перезагрузите компьютер, и проблема должна быть решена.

Решение 3 — Использование командной строки

Если у вас есть проблемы с поврежденной локальной групповой политикой, вы можете решить эту проблему, просто используя командную строку. Чтобы решить эту проблему, вам просто нужно запустить командную строку и запустить несколько команд. Для этого выполните следующие действия:

  1. Запустите командную строку от имени администратора.
  2. При запуске командной строки выполните следующие команды:
  • RD / S / Q «% WinDir% \ System32 \ GroupPolicyUsers»
  • RD / S / Q «% WinDir% \ System32 \ GroupPolicy»
  • gpupdate / force

После выполнения этих трех команд перезагрузите компьютер и проверьте, устранена ли проблема. Это не самое надежное решение, но несколько пользователей сообщили, что оно работает, поэтому не стесняйтесь попробовать его.

Решение 4 — Выполните сканирование DISM и SFC

По словам пользователей, иногда поврежденная локальная групповая политика может быть вызвана поврежденной установкой Windows. Однако вы можете восстановить вашу установку, выполнив сканирование SFC и DISM. Для этого просто выполните следующие действия:

Registry.pol не обновляется

  1. Сначала запустите командную строку от имени администратора.
  2. После запуска командной строки введите команду sfc / scannow и нажмите Enter, чтобы запустить ее.
  3. Начнется сканирование SFC. Этот процесс может занять около 15 минут, поэтому оставьте свой компьютер, пока сканирование SFC делает свое дело.

После завершения сканирования проверьте, сохраняется ли проблема. Если это так, вам нужно запустить сканирование DISM . Вы можете выполнить это сканирование, выполнив следующие действия:

После завершения сканирования DISM проверьте, сохраняется ли проблема.

Решение 5 — Отключить клиент служб сертификации — Политика регистрации сертификатов

Если у вас есть проблемы с поврежденной локальной групповой политикой, проблема может заключаться в клиенте служб сертификации — политика регистрации сертификатов . По словам пользователей, эта политика приведет к повреждению вашей локальной групповой политики, поэтому для устранения проблемы необходимо отключить эту политику.

Для этого перейдите в раздел «Политики открытых ключей» в разделе «Объект групповой политики по умолчанию» и отключите клиент служб сертификации — Политика регистрации сертификатов . Для этого выполните следующие действия:

После этого эта политика будет отключена, и проблема должна быть решена. Возможно, вам придется запустить gpupdate / force после отключения этой политики, чтобы применить изменения.

Решение 6. Удалите содержимое папки «История»

Это относительно просто сделать, и вы можете сделать это, выполнив следующие действия:

  1. Откройте проводник и вставьте C: \ ProgramData \ Microsoft \ Group Policy \ History в адресную строку. Папка истории скрыта, и, вставив адрес непосредственно в нее, вы сможете мгновенно получить к ней доступ.
  2. Теперь удалите все файлы из каталога истории .
  3. После этого откройте командную строку и введите команду GPUpdate / force .

Это не универсальное решение, и если на вашем компьютере нет папки «История», вы можете просто пропустить это решение.

Решение 7 — Выполнить восстановление системы

Если у вас продолжают возникать проблемы с поврежденной групповой политикой, вы можете решить проблему, просто выполнив Восстановление системы . Восстановление системы — это функция Windows, которая позволяет восстановить прежнее состояние системы и устранить многие проблемы. Чтобы выполнить восстановление системы, вам необходимо сделать следующее:

Как только ваш компьютер будет восстановлен, проблема должна быть решена, и все снова начнет работать.

Решение 8. Выполните обновление или сброс Windows 10 на месте

Если все другие решения не сработали, последний вариант — выполнить обновление на месте. Этот процесс переустановит Windows 10, сохранит все ваши файлы и приложения и восстановит все поврежденные файлы. Если у вас возникают проблемы с поврежденной локальной групповой политикой, обновление на месте может быть лучшим способом их устранения.

Чтобы выполнить обновление на месте, вам необходимо сделать следующее:

  1. Скачайте и запустите Media Creation Tool .
  2. Выберите Обновить этот компьютер сейчас .
  3. Выберите Загрузить и установить обновления (рекомендуется) и нажмите Далее . Этот шаг не является обязательным, поэтому, если вы спешите, вы можете не устанавливать обновления.
  4. Следуйте инструкциям на экране. Когда вы попадете на экран « Готов к установке» , выберите « Изменить то, что сохранить» .
  5. Выберите Сохранить личные файлы и приложения и нажмите Далее .
  6. Следуйте инструкциям на экране, чтобы завершить процесс.

После обновления на месте у вас будет новая установка Windows 10, и все ваши проблемы должны быть решены. Если проблема все еще существует, мы рекомендуем вам перезагрузить Windows 10 .

Поврежденная групповая политика может вызвать много проблем, но мы надеемся, что вам удалось решить их с помощью одного из наших решений.

Виртуальная частная сеть (VPN) в основном используется для защиты конфиденциальности пользователей в онлайн-мире и определения их физического местоположения. Хотя в большинстве случаев они работают хорошо, в некоторых случаях пользователь может столкнуться с ошибками, сбоями или другими проблемами с подключением в своей программе VPN. Если ваша VPN не работает, не подключается или заблокирована, вы можете попробовать несколько быстрых решений. Хотя существует множество возможных ошибок, с которыми пользователь может столкнуться при использовании VPN, некоторые из них получают большее признание, чем другие; один из таких кодов ошибки Ошибка VPN 13801.

Ошибка 13801

Ошибка VPN 13801 в Windows 10

Эти ошибки Internet Key Exchange версии 2 (IKEv2) связаны с проблемами с сертификатом проверки подлинности сервера. По сути, сертификат компьютера, необходимый для аутентификации, либо недействителен, либо отсутствует на вашем клиентском компьютере, на сервере или на обоих.

Учетные данные для аутентификации IKE недопустимы

Вот краткое описание возможных причин ошибки 13801:

  • Срок действия сертификата компьютера на сервере удаленного доступа истек.
  • Доверенный корневой сертификат для проверки сертификата сервера удаленного доступа отсутствует на клиенте.
  • Имя VPN-сервера, указанное на клиенте, не соответствует имени субъекта сертификата сервера.
  • Сертификат компьютера, используемый для проверки IKEv2 на сервере удаленного доступа, не имеет «проверки подлинности сервера» в качестве EKU (расширенного использования ключа).

Ошибка VPN 13801 явно ссылается на протоколы, используемые службой VPN, поэтому вам не нужно тратить время на выяснение того, что такое IKEv2 для ошибки 1380 VPN. Найдите правильный сертификат IKEv2 в документации, предоставленной администратором VPN. Есть несколько способов подтвердить эту проблему:

  1. Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).
  2. Срок действия сертификата компьютера на сервере удаленного доступа истек.
  3. Доверенный корень сертификата отсутствует на клиенте.
  4. Имя субъекта сертификата не соответствует удаленному компьютеру

Давайте рассмотрим эти варианты подробнее:

Сертификату не присвоены требуемые значения расширенного использования ключа (EKU).

Вы можете проверить это, выполнив следующие действия:

2]Разверните сертификаты-личные-сертификаты, дважды щелкните установленный сертификат

Срок действия сертификата компьютера на сервере удаленного доступа истек.

Если проблема вызвана этой причиной, подключите Администратор ЦС и зарегистрируйте новый сертификат, срок действия которого не истекает.

Доверенный корень сертификата отсутствует на клиенте.

Имя субъекта сертификата не соответствует удаленному компьютеру

Вы можете подтвердить, используя следующие шаги:

Примечание: Имя субъекта сертификата сервера обычно настраивается как полное доменное имя VPN-сервера.

Когда звонить администратору VPN-сервера

Необходимость иметь дело с ошибками VPN может быть чрезвычайно неприятным, а когда вы не можете устранить их самостоятельно, разочарование еще больше. Это именно тот случай с ошибкой VPN 13801, поэтому не теряйте времени и обратитесь к администратору VPN, чтобы убедиться, что на вашем ПК настроен правильный сертификат, который подтвержден удаленным сервером.

Выберите Параметры сети и Интернет в Windows 10

В разделе Подписки посмотрите IP адреса IKEv2 VPN серверов, Логин и Пароль VPN.

Список IKEv2 VPN серверов

  1. Поставщик услуг VPN Windows (встроенный)
  2. Любое название подключения
  3. Адрес IKEv2 VPN сервера
  4. Тип VPN
  5. Тип данных для входа Имя пользователя и пароль
  6. Логин VPN
  7. Пароль VPN
  8. Отметьте Запомнить мои данные для входа

Настройка IKEv2 VPN в Windows 10

Откройте настройки параметров адаптера.

Параметры адаптера IKEv2 VPN в Windows 10

Откройте свойства IKEv2 VPN-подключения.

Свойства подключения IKEv2 VPN в Windows 10

Откройте свойства протокола TCP/IPv4.

Свойства протокола TCP/IPv4 в Windows 10

Перейдите на вкладку дополнительных параметров и установите галку «Использовать основной шлюз в удаленной сети».

Свойства протокола TCP/IPv4 в Windows 10

Настройка шлюза по умолчанию для удаленной сети в Windows 10

Сохраните параметры и подключитесь к IKEv2 VPN.

Подключение к IKEv2 VPN в Windows 10

Подключение установлено успешно.

Успешное подключение к IKEv2 VPN в Windows 10

VPN и прокси сервис защищает своих клиентов с 2006 года, используя надежные технологии в области анонимности передачи данных в Интернете.

Читайте также: