- Remove From My Forums
-
Вопрос
-
Всем доброго!
Настроил я сервак впн для работы с ikev2. Но не очень понял в чем проблема при подключении: Пока проверяю внутри сети на отдельной машине. Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local,
то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает «неприемлемые учетные данные проверки подлинности ike». И соответственно, сейчас открыли все что нужно на маршрутизаторе,
чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку «неприемлемые
учетные данные проверки подлинности ike». Это с чем может быть связано?Соответсвенно в логах ВПН сервера регистрируется вот такое событие:
«Имя журнала: System
Источник: RemoteAccess
Дата: 02.06.2017 16:04:24
Код события: 20255
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: VPNSRV.Firma.local
Описание:
CoID={F55B7B1A-90C5-51A1-58E3-887C43DB27A2}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-47, пользователь: <Непроверенный пользователь>. Таймаут согласования»Единственное место где я указал vpnserver.firma.local при настройке всего этого хозяйства (RRAS+CA+NAP) — это когда через веб интерфейс на сервере сертификатов СА (http://caserver/srvcert) делал сертификат для ВПН сервера. Там при выборе
шаблона этого сертификата становятся доступны поля и надо было заполнить поле имя. Процесс делал по видео https://www.techdays.ru/videos/1503.html.
Сталкивался кто-то с подобной конфигурацией по настройкам и такой ошибкой?
Download PC Repair Tool to quickly find & fix Windows errors automatically
A virtual private network (VPN) is mostly used to protect a user’s privacy in the online world and skit their physical location. While most of the time these perform well, there are some occasions when the user can encounter errors, crashes, or different connection issues with their VPN program. When your VPN is not working, not connecting, or has been blocked, there are some quick fixes you can try to get it solved. Though there are many possible errors that a user can encounter with VPNs, there are a few who gain more eminence than others; one such error code is VPN Error 13801, IKE authentication credentials are unacceptable

Fix VPN Error 13801 on Windows 11/10
This Internet Key Exchange version 2 (IKEv2) error are related to problems with the server authentication certificate. Basically, the machine certificate required for authentication is either invalid or doesn’t exist on your client’s computer, on the server, or both.
Here’s a quick breakup of the possible causes of Error 13801:
- The machine certificate on the RAS server has expired
- The trusted root certificate to validate the RAS server certificate is absent on the client
- VPN server name as given on the client doesn’t match the subject name of the server certificate
- The machine certificate used for IKEv2 validation on RAS Server does not have “Server Authentication” as the EKU (Enhanced Key Usage).
Since the users do not have any control over the server, there’s very little that can be done to fix this issue. And in most cases, the user might have to the VPN provider’s help desk and get them to repair the error 13801.
VPN error 13801 clearly references the protocols being used by the VPN service, so you don’t have to waste time figuring out what IKEv2 for VPN error 1380 is. Look for the correct IKEv2 certificate in the documentation provided by the VPN admin. There are a few ways in which you can confirm this issue:
- The certificate does not have the required Enhanced Key Usage (EKU) values assigned
- The machine certificate on the RAS server has expired.
- The trusted root for the certificate is not present on the client.
- The subject name of the certificate does not match the remote computer
Let’s look at these options in detail:
The certificate does not have the required Enhanced Key Usage (EKU) values assigned
You can check it by the following steps:
1] On the VPN server, run mmc, add snap-in ‘certificates.’
2] Expand certificates-personal-certificates, double click the certificate installed
3] Click detail for ‘enhanced key usage’, verify if there is ‘server authentication’ below
The machine certificate on the RAS server has expired.
If the issue is caused by this reason, connect the CA administrator and enroll a new certificate that doesn’t expire.
The trusted root for the certificate is not present on the client.
If the client and server are domain members, the root certificate will be installed automatically in ‘trusted root certification authorities.’ You can check if the certificate is present on the client here.
Related errors:
- VPN Error 789, The L2TP connection attempt failed
- VPN error 812, Connection prevented because of a policy configured on RAS/VPN server
- VPN Error 720, Error connecting to a VPN Connection
- VPN Error 868, Name of the Remote Access Server did not resolve
- VPN Error 809, Network connection between your computer and the VPN server could not be established.
The subject name of the certificate does not match the remote computer
You can verify using the below steps:
1] On the client, open ‘VPN connection properties’, click ‘General.’
2] In ‘host name or IP address of destination’ you will need to enter the ‘subject name’ of the certificate used by the VPN server instead of the IP address of the VPN server.
Note: The subject name of the server’s certificate is usually configured as the FQDN of the VPN server.
When to call your VPN Server administrator
Having to deal with VPN errors can be extremely frustrating, and when you cannot troubleshoot them independently, the frustration is even more. That’s exactly the case with VPN Error 13801, so waste no time and contact your VPN administrator to make sure the correct certificate is configured on your PC, which is validated by the remote server.
Ankit Gupta is a writer by profession and has more than 7 years of global writing experience on technology and other areas. He follows technological developments and likes to write about Windows & IT security. He has a deep liking for wild life and has written a book on Top Tiger Parks of India.
Download PC Repair Tool to quickly find & fix Windows errors automatically
A virtual private network (VPN) is mostly used to protect a user’s privacy in the online world and skit their physical location. While most of the time these perform well, there are some occasions when the user can encounter errors, crashes, or different connection issues with their VPN program. When your VPN is not working, not connecting, or has been blocked, there are some quick fixes you can try to get it solved. Though there are many possible errors that a user can encounter with VPNs, there are a few who gain more eminence than others; one such error code is VPN Error 13801, IKE authentication credentials are unacceptable

Fix VPN Error 13801 on Windows 11/10
This Internet Key Exchange version 2 (IKEv2) error are related to problems with the server authentication certificate. Basically, the machine certificate required for authentication is either invalid or doesn’t exist on your client’s computer, on the server, or both.
Here’s a quick breakup of the possible causes of Error 13801:
- The machine certificate on the RAS server has expired
- The trusted root certificate to validate the RAS server certificate is absent on the client
- VPN server name as given on the client doesn’t match the subject name of the server certificate
- The machine certificate used for IKEv2 validation on RAS Server does not have “Server Authentication” as the EKU (Enhanced Key Usage).
Since the users do not have any control over the server, there’s very little that can be done to fix this issue. And in most cases, the user might have to the VPN provider’s help desk and get them to repair the error 13801.
VPN error 13801 clearly references the protocols being used by the VPN service, so you don’t have to waste time figuring out what IKEv2 for VPN error 1380 is. Look for the correct IKEv2 certificate in the documentation provided by the VPN admin. There are a few ways in which you can confirm this issue:
- The certificate does not have the required Enhanced Key Usage (EKU) values assigned
- The machine certificate on the RAS server has expired.
- The trusted root for the certificate is not present on the client.
- The subject name of the certificate does not match the remote computer
Let’s look at these options in detail:
The certificate does not have the required Enhanced Key Usage (EKU) values assigned
You can check it by the following steps:
1] On the VPN server, run mmc, add snap-in ‘certificates.’
2] Expand certificates-personal-certificates, double click the certificate installed
3] Click detail for ‘enhanced key usage’, verify if there is ‘server authentication’ below
The machine certificate on the RAS server has expired.
If the issue is caused by this reason, connect the CA administrator and enroll a new certificate that doesn’t expire.
The trusted root for the certificate is not present on the client.
If the client and server are domain members, the root certificate will be installed automatically in ‘trusted root certification authorities.’ You can check if the certificate is present on the client here.
Related errors:
- VPN Error 789, The L2TP connection attempt failed
- VPN error 812, Connection prevented because of a policy configured on RAS/VPN server
- VPN Error 720, Error connecting to a VPN Connection
- VPN Error 868, Name of the Remote Access Server did not resolve
- VPN Error 809, Network connection between your computer and the VPN server could not be established.
The subject name of the certificate does not match the remote computer
You can verify using the below steps:
1] On the client, open ‘VPN connection properties’, click ‘General.’
2] In ‘host name or IP address of destination’ you will need to enter the ‘subject name’ of the certificate used by the VPN server instead of the IP address of the VPN server.
Note: The subject name of the server’s certificate is usually configured as the FQDN of the VPN server.
When to call your VPN Server administrator
Having to deal with VPN errors can be extremely frustrating, and when you cannot troubleshoot them independently, the frustration is even more. That’s exactly the case with VPN Error 13801, so waste no time and contact your VPN administrator to make sure the correct certificate is configured on your PC, which is validated by the remote server.
Ankit Gupta is a writer by profession and has more than 7 years of global writing experience on technology and other areas. He follows technological developments and likes to write about Windows & IT security. He has a deep liking for wild life and has written a book on Top Tiger Parks of India.
I have an AWS instance that I want to be a VPN server. It will connect Windows 7 clients to a private network in the Amazon cloud.
- I have installed Ubuntu 12.04 and the
strongswan-ikev2package. ipsec versionreportsLinux strongSwan U4.5.2/K3.2.0-52-virtual- Note that both the client and server are behind NAT (the client because it is on a local office network, and the server because it is in Amazon’s cloud). I have unblocked UDP ports 500 and 4500 on both the Amazon dashboard and the client’s firewall.
-
This is /etc/ipsec.conf:
config setup plutostart=no conn %default keyexchange=ikev2 ike=aes256-sha1-modp1024! esp=aes256-sha1! dpdaction=clear dpddelay=300s rekey=no conn win7vpn left=%any leftsubnet=<amazon VPC CIDR block> leftauth=pubkey leftcert=openssl-cert.pem leftid=<vpn server public dns name> right=%any rightsourceip=<amazon private IP address, which elastic ip is forwarded to> rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add -
This is /etc/ipsec.secrets:
: RSA openssl-key.rsa TESTDOMAINtestuser : EAP "testpassword" -
I have added the CA certificate that signed the server’s host cert to the local machine (not user) cert store so that Windows can authenticate the server.
I then try to connect to the server using the Windows 7 client as prescribed here, with one exception — I’m using the DNS name rather than the IP address. I enter the username, domain, and password in my ipsec.secrets file, and it tries to connect.
When it does, I get strongSwan logs that look like this. I munged these a bit for both censorship and clarity; CLIENTPUB/CLIENTPRIV are the client’s public and private IP addresses and AMAZONPRIV is the server’s private IP address (which is what the server’s public IP — Amazon calls this an «Elastic IP» — forwards to).
Sep 4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep 4 00:16:17 localhost charon: 14[NET] received packet: from CLIENTPUB[500] to AMAZONPRIV[500]
Sep 4 00:16:17 localhost charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Sep 4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep 4 00:16:17 localhost charon: 14[IKE] local host is behind NAT, sending keep alives
Sep 4 00:16:17 localhost charon: 14[IKE] remote host is behind NAT
Sep 4 00:16:17 localhost charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Sep 4 00:16:17 localhost charon: 14[NET] sending packet: from AMAZONPRIV[500] to CLIENTPUB[500]
Sep 4 00:16:17 localhost charon: 15[NET] received packet: from CLIENTPUB[4500] to AMAZONPRIV[4500]
Sep 4 00:16:17 localhost charon: 15[ENC] unknown attribute type INTERNAL_IP4_SERVER
Sep 4 00:16:17 localhost charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CP(ADDR DNS NBNS SRV) SA TSi TSr ]
Sep 4 00:16:17 localhost charon: 15[IKE] received cert request for "C=US, ST=TX, O=Test CA, CN=Test CA"
Sep 4 00:16:17 localhost charon: 15[IKE] received 316 cert requests for an unknown ca
Sep 4 00:16:17 localhost charon: 15[CFG] looking for peer configs matching AMAZONPRIV[%any]...CLIENTPUB[CLIENTPRIV]
Sep 4 00:16:17 localhost charon: 15[CFG] selected peer config 'dlpvpn'
Sep 4 00:16:17 localhost charon: 15[IKE] initiating EAP-Identity request
Sep 4 00:16:17 localhost charon: 15[IKE] peer supports MOBIKE
Sep 4 00:16:17 localhost charon: 15[IKE] authentication of 'C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com' (myself) with RSA signature successful
Sep 4 00:16:17 localhost charon: 15[IKE] sending end entity cert "C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com"
Sep 4 00:16:17 localhost charon: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep 4 00:16:17 localhost charon: 15[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
At this point, Windows pops up an error message immediately:
Verifying user name and password...
Error 13801: IKE authentication credentials are unacceptable
After a few seconds, charon tries again and then closes the connection.
Sep 4 00:16:37 localhost charon: 16[IKE] sending keep alive
Sep 4 00:16:37 localhost charon: 16[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
Sep 4 00:16:47 localhost charon: 03[JOB] deleting half open IKE_SA after timeout
And that’s it.
As far as I can tell, I’m following all of the instructions on the strongSwan wiki.
What am I doing wrong here?
Edit: this is definitely a problem with certificates. I disabled the extended validation checks by editing the registry and rebooting as described in MSKB926182 (lol if you wanted a link to that) and I can now connect to my VPN server with no errors. I’ll figure out how to generate certs that satisfy the requirements and add an answer. Thanks to @ecdsa for the pointer to the cert page on the strongSwan wiki that got me pointed in the right direction.
Виртуальная частная сеть или же VPN используется для создания защищенных соединений. Они часто используются через Интернет для более безопасного просмотра. Такие соединения называются VPN-туннелями, которые создаются между локальным клиентом и удаленным сервером.
Настройка и запуск VPN часто представляет собой сложную и сложную задачу, требующую специальных знаний и технологий. При сбое подключения к программному обеспечению VPN клиентская программа сообщает об ошибке. Это сообщение обычно содержит код ошибки. Существует несколько разных Коды ошибок VPN, но некоторые из них очень распространены и появляются в большинстве случаев. Эти коды ошибок могут помочь вам устранить проблемы и проблемы VPN. Вот как устранить распространенные ошибки VPN, с которыми сталкиваются многие пользователи.
Хотя большинство виртуальных частных сетей связаны с стандартными процедурами устранения неполадок в сети, существуют определенные коды ошибок, которые имеют свои собственные конкретные решения. Давайте начнем и рассмотрим, как устранить общие коды ошибок VPN, такие как 691, 789, 800, 809, 609, 633, 0x80072746, 13801 и 0x800704C9.
Прежде чем вы узнаете, что для программного обеспечения VPN требуются соответствующие адаптеры TAP-Windows. Большинство программ VPN будет загружать и устанавливать это автоматически во время их установки, но это то, что вы должны знать.
Устранение общих кодов ошибок VPN
1. Код ошибки VPN 800
Описание ошибки: Это одна из наиболее распространенных ошибок VPN. VPN 800 возникает, когда удаленное соединение не было выполнено. Обычно это указывает на то, что VPN-сервер может быть недоступен, поэтому сообщения не могут добраться до сервера. Это может быть вызвано главным образом:
- Недопустимое имя или адрес VPN-сервера
- Некоторые сетевые брандмауэры блокируют трафик VPN
- Клиентское устройство теряет соединение с локальной сетью.
- Переговоры IPSec, если используется туннель L2TP / IPSec, имеют неправильную конфигурацию в параметрах безопасности
Возможная причина: Когда тип туннеля VPN является «автоматическим», а установление соединения не выполняется для всех туннелей VPN, возникает ошибка 800
Возможное решение:
- Перекрестно проверьте, что адрес VPN-сервера, имя пользователя и пароль верны
- Установите параметры маршрутизатора и брандмауэра, чтобы разрешить PPTP и / или VPN сквозной TCP-порт 1723 и GRE Protocol 47 должны быть открыты / активированы для VPN-соединения PPTP.
- Для пользователей Windows перейдите в Свойства VPN, перейдите на вкладку «Безопасность» и измените тип VPN на протокол туннелирования (PPTP)
2. Коды ошибок VPN 609, 633
Описание ошибки:
- 609: Указан несуществующий тип устройства.
- 633: Модем или другое соединительное устройство либо уже используется, либо неправильно настроено.
Возможная причина: Это еще одна из наиболее распространенных ошибок VPN. Эта проблема обычно возникает, когда подключенное VPN-устройство (т. Е. Минипорт) настроено неправильно, а также когда TCP-порт, который используется VPN-соединением, уже используется другой программой.
Чтобы подтвердить наличие типа минипорта netcfg.exe -q в командной строке с повышенными правами. Ниже перечислены имя устройства минипорта для разных туннелей:
- Туннель PPTP: MS_PPTP
- Тоннель L2TP: MS_L2TP
- Туннель VPN Reconnect (IKEv2): MS_AGILEVPN
- SSTP-туннель: MS_SSTP
Возможное решение:
- Возможное решение для таких общих ошибок VPN — это встроенная диагностика, при которой ремонт предоставляется в Windows. Это предусмотрено для проблемы с отсутствующим минипортом для VPN-подключений, которые создаются локально. Нажатие кнопки «Диагностика», которая отображается на странице «Ошибка» VPN-подключения, дает параметр «ремонт», который будет автоматически исправлять проблему, при условии, что проблема не будет устранена.
- Стоп и Пуск, Служба диспетчера подключений удаленного доступа (rasman).
- Просто перезагрузите свою систему, а затем подключитесь к VPN.
3. Код ошибки VPN 0x80072746
Описание ошибки: Это одна из распространенных ошибок VPN, когда существующее соединение принудительно закрывается удаленным хостом.
Возможная причина: Эта ошибка возникает, когда привязка сертификата серверного компьютера к HTTPS не выполняется на сервере VPN или сертификат сервера не установлен на VPN-сервере.
Возможное решение:
- Чтобы решить эту проблему, вам необходимо обратиться к администратору вашего VPN-сервера. Это нужно проверить, установлен ли соответствующий сертификат компьютера на сервере VPN или нет.
- Если он установлен правильно, вам необходимо проверить привязку HTTPS, выполнив следующую команду в командной строке VPN-сервера: «Netsh http show ssl»
4. Код ошибки VPN 809
Сообщение об ошибке: Не удалось установить сетевое соединение между вашим компьютером и VPN-сервером, поскольку удаленный сервер не отвечает.
Возможное решение: Включить порт (как упоминалось выше) на брандмауэре / маршрутизаторе. Если это невозможно, разверните VPN-туннель на основе SSTP как на VPN-сервере, так и на VPN-клиенте — это позволяет VPN-соединение через брандмауэры, веб-прокси и NAT.
5. Код ошибки VPN 13801
Описание ошибки: Хотя это выглядит случайной ошибкой, 13801 является одной из наиболее распространенных ошибок VPN, с которыми сталкиваются пользователи. Эта ошибка возникает, когда учетные данные аутентификации IKE неприемлемы.
Возможные причины: Эта ошибка обычно возникает в одном из следующих случаев:
- Сертификат машины, используемый для проверки IKEv2 на сервере RAS, не имеет «Аутентификация сервера» в качестве EKU (Enhanced Key Usage).
- Сертификат машины на сервере RAS истек.
- Корневой сертификат для проверки сертификата сервера RAS отсутствует на клиенте.
- Имя VPN-сервера, указанное на клиенте, не совпадает с именем объекта сертификата сервера.
Возможное решение: К сожалению, вы не сможете решить эту проблему самостоятельно. Вам необходимо связаться с администратором вашего VPN-сервера, чтобы проверить и устранить вышеуказанную проблему. Чтобы узнать больше об этой ошибке, вы можете прочитать блог маршрутизации и удаленного доступа.
6. Код ошибки VPN 691
Описание ошибки: Некоторые из распространенных ошибок VPN имеют решения, которые вы даже можете реализовать. Код ошибки 691 является одной из таких разрешимых общих ошибок VPN. Ошибка возникает, когда удаленное соединение было отклонено, поскольку указанная вами комбинация имени пользователя и пароля не распознана, или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.
Возможная причина: Эта ошибка возникает, когда фаза аутентификации ошибочна из-за неправильных учетных данных.
Возможное решение:
- Убедитесь, что введено правильное имя пользователя и пароль.
- Убедитесь, что «Caps Lock» не включен во время ввода учетных данных.
- Убедитесь, что протокол проверки подлинности, выбранный на клиенте, разрешен на сервере.
7. Код ошибки VPN 0x800704C9
Возможная причина: Это одна из распространенных ошибок VPN, и это происходит, если на сервере нет портов SSTP.
Возможное решение: К счастью, вы можете самостоятельно устранить эту ошибку. Прежде всего, убедитесь, что сервер RAS имеет достаточные порты, настроенные для удаленного доступа. Для этого выполните следующие действия:
- Запустите оснастку MMC для маршрутизации и удаленного доступа.
- Разверните сервер, щелкните правой кнопкой мыши «Порты» и выберите «Свойства».
- В списке «Имя» выберите «WAN Miniport» (SSTP) и нажмите «Настроить».
- Измените номер, который отображается в списке Максимальных портов, в соответствии с вашими требованиями, а затем нажмите кнопку ОК.
Замечания: По умолчанию для этого устройства доступно 128 портов.
- В диалоговом окне «Свойства порта» нажмите «ОК».
8. Код ошибки VPN 789
Сообщение об ошибке: Попытка подключения L2TP не удалась, потому что уровень безопасности обнаружил ошибку обработки во время начальных переговоров с удаленным компьютером.
Возможное решение: Это общая ошибка, которая возникает, когда согласование IPSec не выполняется для подключений L2TP / IPSec. Поэтому убедитесь, что правильный сертификат используется как на стороне клиента, так и на стороне сервера — для получения дополнительной информации обратитесь к этому блогу. В случае использования Pre Shared Key (PSK) убедитесь, что на клиенте и на сервере VPN-сервера установлен тот же самый PSK.
Помимо этих общих ошибок VPN, есть несколько других ошибок VPN, с которыми вы можете столкнуться. Чтобы просмотреть список других ошибок VPN, их возможную причину и их возможное решение, посетите TechNet, Это сообщение поможет вам с кодами ошибок 732, 734, 812, 806, 835, 766, 13806, 0x80070040, 0x800B0101, 0x800B0109, 0x800B010F, 0x80092013, 0x800704D4 и 0x80072746.
Tweet
Share
Link
Plus
Send
Send
Pin


