Sedan den 14:e har fem användare rapporterat samma fel till mig när de försöker ansluta till vår M270 firefox som kör 12.7. Alla använder Windows 10. Inga nya Windows-uppdateringar, inga ändringar i vår brandvägg, och i de flesta fall fungerade VPN:et bra. De gick för att äta, satte sin dator i viloläge, kom tillbaka, försökte ansluta igen och fick felet. Här är vad trafikmonitoren visade när jag felsökte med en användare
2022-02-15 12:27:13 Member1 admd Autentisering av IKEv2-användare [user1] från x.x.x.x godkänd msg_id="1100-0004"
2022-02-15 12:27:13 Member1 iked (FIREBOX<->USER1_IP)'WG IKEv2 MVPN' MUVPN IPSec-tunnel är etablerad. lokal:0 fjärr:0 in-SA:0xdb1cfa3b ut-SA:0x6fc7b846 roll:responder msg_id="0207-0001"
2022-02-15 12:27:13 Member1 iked (FIREBOX<->USER1_IP)ras_return_ip_to_addr_pool():IP-adressen returnerad är ogiltig, tillhör inte adresspoolen WG IKEv2 MVPN_mp
När jag öppnade ett supportärende pekade Watchguard på en sak som kan ha orsakat detta, jag hade ett IP-område 192.168.0.x/24 uppsatt för en anslutning jag använde för att hantera vissa semi-intelligenta switchar för några månader sedan och glömde bort det. Användare1 hade faktiskt en intern IP i det området men det finns ingen anledning för honom att nå det IP-området, och det har varit konfigurerat så i månader innan detta hände. Jag ändrade det till ett nytt IP-område 192.168.20.x men idag rapporterade två nya användare samma problem. De använder IP-området 192.168.1.x/24 internt. Så det är inte IP-området som orsakar problemet. Väldigt förvirrande problem. Jag arbetar fortfarande med Watchguard om detta men tänkte dela detta här och så snart jag har svaret, eftersom det är ett konstigt problem utan mycket information online.
Leta efter Windows-uppdatering KB5009543. Jag har sett många rapporter om att detta bråkar med IKEv2-VPN:er. Om den är installerad, försök ta bort patchen, starta om och anslut igen.
Jag har inte sett den loggen förut! Så problemet sker bara när Windows-datorerna väcks från viloläge? Loggen visar att när du bygger tunneln autentiseras användaren framgångsrikt. Sedan försöker iked-processen tilldela en virtuell IP, men misslyckas. Troligen försöker den inte att tilldela ett nytt DHCP-uthyrning, utan försöker att återskapa den föregående sessionen innan enheten gick i viloläge.
Händer fortfarande fel om du kopplar ur VPN, går i viloläge och ansluter till VPN igen? (Jag antar att felen hittills är när enheten går i viloläge utan att koppla ur VPN). Det här är all min personliga spekulation, men verkar vara någon form av cache-problem eller något som konflikterar med ike-tjänsten.
Jag skulle testa att starta om Fireboxen/haza över till din medlem2 när det händer nästa gång för att se om omstart av iked-processen eller att rensa cache på Firebox-sidan löser problemet. Om felet fortfarande kvarstår efter det, kontrollera igen för likheterna i användarens enheter.
Åh jag vet om det där, det orsakar ett annat fel. Något allmänt, det drabbade oss för ungefär tre veckor sedan och jag avbröt den uppdateringen på alla system.
Så att somna tyvärr har inget att göra med det. Jag nämnde det bara eftersom tunneln fungerade bra för dem tidigare samma dag utan omstart eller andra större ändringar på maskinen. Den användare jag arbetade med hade inga pågående sessioner i brandväggen och inget av det vi gjorde hjälpte. Alltså omstart, ta bort tunneln och återskapa den på hans maskin. I ett annat fall fick användaren felet, startade om och tunneln fungerade efter det. Det är också vanligt att endast 1-2 användare om dagen har problemet. Vi har totalt omkring 15 användare, så det är inte ett IP-utrymmeproblem heller.
Jag hittade en KB som visade hur man startar om iked-processen, jag skulle prova det men vi “löste” problemet med Watchguard, men det kom tillbaka. Just nu väntar jag på att de ska komma tillbaka med en handlingsplan innan jag gör något annat. Under tiden har jag en WireGuard VPN-server som jag flyttar alla berörda till som en tillfällig lösning.
Jag hittade lösningen för min del, gå till Enhetshanteraren och avinstallera WAN miniport (IP) och installera om VPN, så fungerar det.
Om någon annan har detta problem, jag löste det på en Windows 11-PC med ovanstående metod:
avinstallera WAN miniport (IP)
installer om VPN
starta om datorn
Jag vet att detta är en väldigt gammal tråd, men vill bara tacka för detta, för jag stötte på detta problem i morse och fixa fungerade utmärkt.
