网友问答：VPN接入故障巧解决

网友提问:
我是一家企业的网管，该企业规模较大，在全国多个省市都有分公司。企业的性质属于金融行业，所以很多内网应用和服务需要适当的保密。在实际工作中，我们通过VPN设备实现远程分支机构连接内网的功能，通过VPN设备完成内网访问服务。然而，在实际访问中，远程计算机VPN客户端无法成功连接到VPN设备并访问内网。无论您使用默认管理员帐户还是重新建立的员工帐户，都无法连接。不知道是什么原因造成的。希望专家能帮我解决这个问题。我用的产品设备是Biguard公司的VPN安全设备S10。
回答:
一般来说，要想成功访问VPN安全设备，首先要配置好VPN安全设备的IP地址，尤其是对应的端口。其次，你要建立一个有VPN远程拨号接入的对应账号，同时要赋予该账号一定的内网应用权限。
如果连接VPN安全设备时出现超时或网络中断等问题，故障大多来自VPN对应端口的IP地址等信息配置错误。如果连接后提示账户权限不足或者内网资源无法使用，那么就会出现账户权限分配和权限分配的问题。
根据这位读者的描述，访问远程VPN安全设备，输入相应的有访问权限的账号信息后，出现连接——“登录失败！您没有使用独立网络扩展器的权限”，此错误消息意味着用户没有使用远程拨号访问客户端程序的权限。
所以，我们要去VPN安全设备了解一下，这个账号对应的权限设置是否合理。经过查询，我们发现在建立更软的账户时，直接选择了“开始组设置”。该选项意味着该账号的所有权限都是从上级用户组继承的，该账号属于哪个组，并严格按照该组的权限在VPN接入后进行分配。因为这个用户只设置了一个账号，没有为他所在的组分配相应的访问权限，所以远程连接时会出现上面的错误提示。
要顺利解决这个问题，有两个办法。一种是编辑帐号信息，选择“组设置”为“关”，这样每个帐号都会根据自己的权限进行分配，而不是继承用户组的设置信息。关闭群组设置后，我们可以对softer account使用的在线邻居、网络extender服务、传输extender服务等应用进行具体设置，解决上述问题，确保softer account顺利连接VPN安全设备，并通过帐户验证。
当然，我们也可以通过直接划分softer的组的权限来实现上述功能。具体怎么操作，要看读者的实际情况。
除了账号权限，有时候当我们通过默认的管理员账号连接远程VPN安全设备时，会出现“登录错误访问被拒绝:不允许从WAN登录”的提示。这是因为默认情况下，由于VPN设备的安全性，没有打开WAN接口的管理员登录权限，自然管理员账号无法直接远程连接VPN设备。解决这个问题也有两种方法。
首先通过其他账号连接VPN设备访问内容，然后在内网中通过HTTP或其他管理工具连接VPN设备，从而进入管理界面，设置必要的参数。另一种方法是提前在VPN设备中打开远程访问和管理权限。一般来说，这个设置在高级设置->远程访问下。我们将关闭远程访问的默认配置改为“启动远程门户和远程配置”，这样我们就可以通过admin帐户直接在远程计算机上登录VPN设备。当然，为了安全起见，我们可以指定远程连接权限的地址信息。由于篇幅原因，请有兴趣的读者研究一下这方面的内容和操作方法。
只有设置合理的权限，才能通过普通账号或管理账号成功连接远程客户端上的VPN安全设备，进行相应的内网访问和权限管理。