技术分析如何处理VPN连接故障

用户无法访问文件服务器。

如果该用户可以通过IP地址访问文件服务器，但不能通过名称访问，最可能的原因是域名解析的问题。NetBIOS或DNS主机名解析可能有问题。如果客户端操作系统使用NetBIOS，VPN服务器应该为VPN客户端分配一个intranet主机名。

如果DNS用于为VPN用户解析内部网主机名，则必须确保这些客户端能够正确解析企业网络中使用的域名。如果一台没有域的电脑尝试使用DNS解析VPN服务器背后内网服务器的域名，就会经常遇到这个问题。

用户不能访问企业网络的任何内容。

有时，用户可以连接到远程VPN服务器，但他们无法连接到企业网络中的任何资源。他们无法解析主机名，甚至无法ping通企业网络中的资源。

这个问题最常见的原因是用户连接的网络使用了与VPN服务器后面的企业网络相同的网络ID。例如，这个用户连接到一个酒店宽带网络，这个网络使用的ID是10.0.0.0/24。如果企业网也使用10.0.0.0/24的ID，他们就无法连接，因为VPN客户端机器会把目标地址作为本地网络地址，所以不会通过VPN接口连接到远程网络。

通信失败的另一个常见原因是VPN客户端所连接的VPN服务器/防火墙设备上的规则不允许客户端访问企业网络中的资源。解决方案是修改防火墙的配置，并允许VPN客户端访问适当的网络资源。

用户不能从NAT设备后面连接到VPN服务器。

大多数防火墙和NAT路由器在NAT设备后支持PPTP VPN协议。但是，一些高端网络设备供应商没有为PPTP VPN协议设置NAT编辑器。如果用户在这样的设备后面，使用PPTP的VPN连接将失败，但是VPN协议将成功。

所有NAT设备和防火墙都支持基于IPSec的VPN协议IPSecpassthrough。这些VPN协议包括IPSec信道模式和与RFC兼容的L2TP/IPSec。这些VPN协议可以支持NAT，IPSec流量被压缩到UDP报头中，以便在网络中来回传输。

如果您的VPN客户端和服务器支持NAT，并且客户端尝试使用L2TP/IPSec通过NAT连接到NAT-T兼容的VPN服务器，则此问题最可能的原因是客户端使用了Windows XP Service Pack 2。Service Pack 2阻止L2TP/IPSec VPN客户端的NAT通信。如果要解决这个问题，可以按照Microsoft知识库文章885407中的说明修改VPN客户端计算机注册表。

用户抱怨速度太慢。

性能差是最难解决的问题之一。有很多可能的原因。重要的是要对用户有一个准确详细的描述，明确他们在做什么，什么时候发现慢的。

VPN客户端感觉缓慢的最常见原因之一是这些客户端位于使用PPPoE的DSL网络之后。这些网络连接经常会遇到最大传输单元(MTU)问题，这会影响连接和性能。如果你想知道更多关于微软客户端的MTU问题，请参考微软知识库文章283165。