Устранение неполадок с AlwaysOn VPN

В этой статье содержатся инструкции по проверке и устранению неполадок развертывания ALWAYS On VPN.

Если настройка виртуальной частной сети (VPN) AlwaysOn не подключает клиентов к внутренней сети, возможно, возникла одна из следующих проблем:

• Сертификат VPN недопустим.
• Политики сервера политики политики сети (NPS) неверны.
• Проблемы со сценариями развертывания клиента или маршрутизацией и удаленным доступом.

Первым шагом в устранении неполадок и тестировании VPN-подключения является изучение основных компонентов инфраструктуры VPN AlwaysOn.

Проблемы с подключением можно устранить несколькими способами. Для проблем на стороне клиента и общего устранения неполадок журналы приложений на клиентских компьютерах неоценимы. Для проблем, связанных с проверкой подлинности, журнал NPS, расположенный на сервере NPS, может помочь определить источник проблемы.

Общие сведения об устранении неполадок с VPN-подключением AlwaysOn

Vpn-клиенты Always On перед установкой подключения проходят несколько шагов. В результате есть несколько мест, где подключения могут быть заблокированы, и иногда трудно понять, где возникла проблема.

Если у вас возникают проблемы, вот несколько общих действий, которые можно предпринять, чтобы выяснить, что происходит:

• Выполните проверку whatismyip , чтобы убедиться, что компьютер с шаблоном не подключен извне. Если на компьютере есть общедоступный IP-адрес, который вам не принадлежит, следует изменить IP-адрес на частный.
• Перейдите на панель> управленияСеть исетевые подключенияк Интернету>, откройте свойства профиля VPN и убедитесь, что значение на вкладке Общие может разрешаться с помощью DNS. В противном случае причиной проблемы может быть сервер удаленного доступа или VPN-сервер, который не может быть разрешен на IP-адрес.
• Откройте протокол ICMP для внешнего интерфейса и выполните связь с VPN-сервером с удаленного клиента. Если проверка проверки данных выполнена успешно, можно удалить правило разрешения ICMP. Если нет, то vpn-сервер, который недоступен, вероятно, является причиной проблемы.
• Проверьте конфигурацию внутренних и внешних сетевых адаптеров на VPN-сервере. В частности, убедитесь, что они в одной подсети и что внешний сетевой адаптер подключается к правильному интерфейсу брандмауэра.
• Проверьте брандмауэр клиента, брандмауэр сервера и все аппаратные брандмауэры, чтобы убедиться, что они разрешают использование портов UDP 500 и 4500. Кроме того, если вы используете UDP-порт 500, убедитесь, что IPSEC нигде не отключен и не заблокирован. В противном случае проблема возникает из-за неоткрытых портов от клиента к внешнему интерфейсу VPN-сервера.
• Убедитесь, что NPS-сервер имеет сертификат проверки подлинности сервера, который может обслуживать запросы IKE. Кроме того, убедитесь, что клиент NPS имеет правильный IP-адрес VPN-сервера в его параметрах. Проверка подлинности должна выполняться только с помощью PEAP, а свойства PEAP должны разрешать только проверку подлинности на основе сертификата. Вы можете проверить наличие проблем с проверкой подлинности в журнале событий NPS. Дополнительные сведения см. в статье Установка и настройка NPS-сервера.
• Если вы можете подключиться, но у вас нет доступа к Интернету или локальной сети, проверьте пулы IP-адресов DHCP или VPN-сервера на наличие проблем с конфигурацией. Кроме того, убедитесь, что клиенты могут получить доступ к этим ресурсам. Vpn-сервер можно использовать для маршрутизации запросов.

Общие сведения об устранении неполадок со скриптами VPN_Profile.ps1

Ниже перечислены наиболее распространенные проблемы при выполнении скрипта VPN_Profile.ps1 вручную.

• Если вы используете средство удаленного подключения, убедитесь, что не используете протокол удаленного рабочего стола (RDP) или другие методы удаленного подключения. Удаленные подключения могут помешать службе обнаруживать вас при входе.
• Если затронутый пользователь является администратором на локальном компьютере, убедитесь, что у него есть права администратора во время выполнения скрипта.
• Если вы включили другие функции безопасности PowerShell, убедитесь, что политика выполнения PowerShell не блокирует скрипт. Отключите режим ограниченного языка перед выполнением скрипта, а затем повторно активируйте его после завершения выполнения скрипта.

Журналы

Вы также можете проверить журналы приложений и журналы NPS на наличие событий, которые могут указывать, когда и где происходит проблема.

Журналы приложений.

Журналы приложений на клиентских компьютерах записывают сведения о событиях VPN-подключения более высокого уровня.

При устранении неполадок с AlwaysOn VPN найдите события с меткой RasClient. Все сообщения об ошибках возвращают код ошибки в конце сообщения. Коды ошибок перечислены некоторые из наиболее распространенных кодов ошибок, связанных с Always On VPN. Полный список кодов ошибок см. в разделе Коды ошибок маршрутизации и удаленного доступа.

Журналы NPS

NPS создает и сохраняет журналы учета NPS. По умолчанию журналы хранятся в %SYSTEMROOT%\System32\Logfiles\ в файле с именем IN<date of log creation>.txt.

По умолчанию эти журналы имеют формат значений, разделенных запятыми, но не содержат строку заголовка. Следующий блок кода содержит строку заголовка:

ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version

Если вставить эту строку заголовка в качестве первой строки файла журнала, импортируйте файл в Microsoft Excel, а затем Excel правильно помечает столбцы.

Журналы NPS могут помочь в диагностике проблем, связанных с политикой. Дополнительные сведения о журналах NPS см. в разделе Интерпретация файлов журнала в формате базы данных NPS.

Коды ошибок

В следующих разделах описывается устранение наиболее часто встречающихся ошибок.

Ошибка 800: удаленному подключению не удалось подключиться

Эта проблема возникает, когда службе не удается установить удаленное подключение из-за сбоя vpn-туннелей, часто из-за недоступности VPN-сервера. Если подключение пытается использовать туннельный протокол уровня 2 (L2TP) или туннель IPsec, эта ошибка означает, что необходимые параметры безопасности для согласования IPsec настроены неправильно.

Причина: тип VPN-туннеля

Эта проблема может возникнуть, если для типа VPN-туннеля задано значение Автоматически , а попытка подключения во всех VPN-туннелях завершается неудачно.

Решение: проверьте конфигурацию VPN

Так как параметры VPN вызывают эту проблему, следует устранить неполадки с параметрами VPN и подключением, выполнив следующие действия:

• Если вы знаете, какой туннель следует использовать для развертывания, задайте тип VPN для этого типа туннеля на стороне VPN-клиента.
• Убедитесь, что порты IKE на портах UDP 500 и 4500 не заблокированы.
• Убедитесь, что клиент и сервер имеют правильные сертификаты для IKE.

Ошибка 809: не удается установить подключение между локальным компьютером и VPN-сервером

В этой проблеме удаленный сервер не отвечает, что предотвращает подключение локального компьютера и VPN-сервера. Это может быть связано с тем, что одно или несколько сетевых устройств, таких как маршрутизаторы, брандмауэры или преобразование сетевых адресов (NAT) между компьютером и удаленным сервером, не настроены для разрешения VPN-подключений. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство может вызвать проблему.

Причина ошибки 809

Эта проблема может возникнуть при блокировке портов UDP 500 или 4500 на VPN-сервере или брандмауэре. Блокировка может произойти, если одно из сетевых устройств между компьютером и удаленным сервером, например брандмауэр, NAT или маршрутизаторы, настроено неправильно.

Решение: проверьте порты на устройствах между локальным компьютером и удаленным сервером

Чтобы устранить эту проблему, сначала обратитесь к администратору или поставщику услуг, чтобы узнать, какое устройство заблокировано. После этого убедитесь, что брандмауэры для этого устройства разрешают через порты UDP 500 и 4500. Если проблема не устранена, проверьте брандмауэры на каждом устройстве между локальным компьютером и удаленным сервером.

Ошибка 812: не удается подключиться к AlwaysOn VPN

Эта проблема возникает, если серверу удаленного доступа (RAS) или VPN-серверу не удается подключиться к AlwaysOn VPN. Метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, не соответствует методу проверки подлинности, настроенного в профиле подключения.

При возникновении ошибки 812 рекомендуется немедленно обратиться к администратору сервера RAS, чтобы сообщить ему, что произошло.

Если вы используете средство просмотра событий для устранения неполадок, вы можете найти эту проблему, помеченную как журнал событий 20276. Это событие обычно возникает, если параметр протокола проверки подлинности VPN-сервера на основе маршрутизации и удаленного доступа (RRAS) не соответствует параметрам на компьютере VPN-клиента.

Причина ошибки 812

Как правило, эта ошибка возникает, когда NPS указал условие проверки подлинности, с которым не может выполнить клиент. Например, если NPS указывает, что ему требуется сертификат для защиты подключения PEAP, он не сможет пройти проверку подлинности, если клиент пытается использовать EAP-MSCHAPv2.

Решение: проверьте параметры проверки подлинности клиента и сервера NPS

Чтобы устранить эту проблему, убедитесь, что требования к проверке подлинности для клиента и NPS-сервера совпадают. Если нет, измените их соответствующим образом.

Ошибка 13806: IKE не удается найти действительный сертификат компьютера

Эта проблема возникает, когда IKE не может найти действительный сертификат компьютера.

Причина ошибки 13806

Эта ошибка обычно возникает, если у VPN-сервера нет необходимого компьютера или сертификата корневого компьютера.

Решение: установите действительный сертификат в соответствующем хранилище сертификатов.

Чтобы устранить эту проблему, убедитесь, что необходимые сертификаты установлены как на клиентском компьютере, так и на VPN-сервере. Если нет, обратитесь к администратору безопасности сети и попросите его установить действительные сертификаты в соответствующем хранилище сертификатов.

Ошибка 13801: недопустимые учетные данные проверки подлинности IKE

Эта проблема возникает, если сервер или клиент не могут принять учетные данные проверки подлинности IKE.

Причина ошибки 13801

Эта ошибка может возникать из-за следующего:

• Для сертификата компьютера, используемого для проверки IKEv2 на сервере RAS, не включена проверка подлинности сервера в разделе Расширенное использование ключа.
• Срок действия сертификата компьютера на сервере RAS истек.
• На клиентском компьютере нет корневого сертификата для проверки сертификата сервера RAS.
• Имя VPN-сервера клиентского компьютера не соответствует значению subjectName в сертификате сервера.

Решение 1. Проверка параметров сертификата сервера

Если проблема связана с сертификатом компьютера сервера RAS, убедитесь, что сертификат включает проверку подлинности сервера в разделе Расширенное использование ключа.

Решение 2. Убедитесь, что сертификат компьютера по-прежнему действителен

Если проблема заключается в том, что срок действия сертификата компьютера RAS истек, убедитесь, что он по-прежнему действителен. Если это не так, установите действительный сертификат.

Решение 3. Убедитесь, что на клиентском компьютере есть корневой сертификат

Если проблема связана с отсутствием корневого сертификата на клиентском компьютере, сначала проверьте доверенные корневые центры сертификации на сервере RRAS, чтобы убедиться, что вы используете центр сертификации. Если его нет, установите допустимый корневой сертификат.

Решение 4. Заставить имя VPN-сервера клиентского компьютера соответствовать сертификату сервера

Сначала убедитесь, что VPN-клиент подключается с использованием того же полного доменного имени (FQDN), что и сертификат VPN-сервера. В противном случае измените имя клиента, чтобы оно соответствовало имени сертификата сервера.

Ошибка 0x80070040: сертификат сервера не содержит проверку подлинности сервера в записях об использовании

Эта проблема возникает, если сертификат сервера не имеет проверки подлинности сервера в качестве одной из записей об использовании сертификата.

Ошибка 0x80070040 причина

Эта ошибка возникает, если на сервере RAS не установлен сертификат проверки подлинности сервера.

Решение. Убедитесь, что сертификат компьютера содержит необходимую запись об использовании сертификата.

Чтобы устранить эту проблему, убедитесь, что сертификат компьютера, который сервер RAS использует для проверки IKEv2, включает проверку подлинности сервера в список записей об использовании сертификатов.

Ошибка 0x800B0109: цепочка сертификатов обработана, но завершена в корневом сертификате

Полное описание ошибки: "Цепочка сертификатов обработана, но завершена в корневом сертификате, которому поставщик доверия не доверяет".

Как правило, компьютер VPN-клиента присоединяется к домену на основе Active Directory (AD). Если для входа на VPN-сервер используются учетные данные домена, служба автоматически устанавливает сертификат в хранилище доверенных корневых центров сертификации. Эта проблема может возникнуть, если компьютер не присоединен к домену AD или используется альтернативная цепочка сертификатов.

Ошибка 0x800B0109 причина

Эта ошибка может возникнуть, если на клиентском компьютере не установлен соответствующий доверенный сертификат корневого ЦС в хранилище доверенных корневых центров сертификации.

Решение. Установка доверенного корневого сертификата

Чтобы устранить эту проблему, убедитесь, что на клиентском компьютере установлен доверенный корневой сертификат в хранилище доверенных корневых центров сертификации. Если нет, установите соответствующий корневой сертификат.

Ошибка: Ой, вы еще не можете добраться до этого

Это сообщение об ошибке связано с проблемами с подключением условного доступа к Microsoft Entra. При возникновении этой проблемы политика условного доступа не удовлетворяется, блокируя VPN-подключение, но затем подключаясь после того, как пользователь закроет диалоговое окно. Если пользователь нажимает кнопку ОК, он запускает еще одну попытку проверки подлинности, которая также не завершается успешной, и выдается аналогичное сообщение об ошибке. Эти события записываются в журнале операционных событий Microsoft Entra клиента.

Причина ошибки условного доступа Microsoft Entra

Эта проблема может возникнуть по нескольким причинам.

• У пользователя есть сертификат проверки подлинности клиента в хранилище личных сертификатов, который действителен, но не получен из Идентификатора Microsoft Entra.

• Раздел профиля <TLSExtensions> VPN отсутствует или не содержит <EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID> записей. Записи <EKUName> и <EKUOID> сообщают VPN-клиенту, какой сертификат следует получить из хранилища сертификатов пользователя при передаче сертификата НА VPN-сервер. <EKUName> Без записей и <EKUOID> VPN-клиент использует любой действительный сертификат проверки подлинности клиента, который находится в хранилище сертификатов пользователя, и проверка подлинности будет выполнена успешно.

• Сервер RADIUS (NPS) не настроен для приема только клиентских сертификатов, содержащих идентификатор объекта условного доступа AAD (OID).

Решение: использование PowerShell для определения состояния сертификата

Чтобы экранировать этот цикл, выполните следующее:

1. В Windows PowerShell выполните Get-WmiObject командлет для дампа конфигурации профиля VPN.

2. Убедитесь, что <TLSExtensions>переменные , <EKUName>и <EKUOID> существуют, а их выходные данные отображают правильное имя и OID.

   Следующий код является примером выходных данных командлета Get-WmiObject .

   PS C:\> Get-WmiObject -Class MDM_VPNv2_01 -Namespace root\cimv2\mdm\dmmap
   
   __GENUS                 : 2
   __CLASS                 : MDM_VPNv2_01
   __SUPERCLASS            :
   __DYNASTY               : MDM_VPNv2_01
   __RELPATH               : MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VPNv2"
   __PROPERTY_COUNT        : 10
   __DERIVATION            : {}
   __SERVER                : DERS2
   __NAMESPACE             : root\cimv2\mdm\dmmap
   __PATH                  : \\DERS2\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="AlwaysOnVPN",ParentID="./Vendor/MSFT/VP
                               Nv2"
   AlwaysOn                :
   ByPassForLocal          :
   DnsSuffix               :
   EdpModeId               :
   InstanceID              : AlwaysOnVPN
   LockDown                :
   ParentID                : ./Vendor/MSFT/VPNv2
   ProfileXML              : <VPNProfile><RememberCredentials>false</RememberCredentials><DeviceCompliance><Enabled>true</
                               Enabled><Sso><Enabled>true</Enabled></Sso></DeviceCompliance><NativeProfile><Servers>derras2.corp.deverett.info;derras2.corp.deverett.info</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType><NativeProtocolType>Ikev2</NativeProtocolType><Authentication><UserMethod>Eap</UserMethod><MachineMethod>Eap</MachineMethod><Eap><Configuration><EapHostConfigxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Typexmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorTypexmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorIdxmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Configxmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type>
                               <EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames></ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName><TLSExtensionsxmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xml ns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUListEnabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig></Configuration></Eap></Authentication></NativeProfile></VPNProfile>
   RememberCredentials     : False
   TrustedNetworkDetection :
   PSComputerName          : DERS2
   

3. Затем выполните Certutil команду , чтобы определить, есть ли допустимые сертификаты в хранилище сертификатов пользователя:

   C:\>certutil -store -user My
   
   My "Personal"
   ================ Certificate 0 ================
   Serial Number: 32000000265259d0069fa6f205000000000026
   Issuer: CN=corp-DEDC0-CA, DC=corp, DC=deverett, DC=info
     NotBefore: 12/8/2017 8:07 PM
     NotAfter: 12/8/2018 8:07 PM
   Subject: E=winfed@deverett.info, CN=WinFed, OU=Users, OU=Corp, DC=corp, DC=deverett, DC=info
   Certificate Template Name (Certificate Type): User
   Non-root Certificate
   Template: User
   Cert Hash(sha1): a50337ab015d5612b7dc4c1e759d201e74cc2a93
     Key Container = a890fd7fbbfc072f8fe045e680c501cf_5834bfa9-1c4a-44a8-a128-c2267f712336
     Simple container name: te-User-c7bcc4bd-0498-4411-af44-da2257f54387
     Provider = Microsoft Enhanced Cryptographic Provider v1.0
   Encryption test passed
   
   ================ Certificate 1 ================
   Serial Number: 367fbdd7e6e4103dec9b91f93959ac56
   Issuer: CN=Microsoft VPN root CA gen 1
     NotBefore: 12/8/2017 6:24 PM
     NotAfter: 12/8/2017 7:29 PM
   Subject: CN=WinFed@deverett.info
   Non-root Certificate
   Cert Hash(sha1): 37378a1b06dcef1b4d4753f7d21e4f20b18fbfec
     Key Container = 31685cae-af6f-48fb-ac37-845c69b4c097
     Unique container name: bf4097e20d4480b8d6ebc139c9360f02_5834bfa9-1c4a-44a8-a128-c2267f712336
     Provider = Microsoft Software Key Storage Provider
   Private key is NOT exportable
   Encryption test passed
   

   Примечание.

   Если сертификат из издателя CN=Microsoft VPN корневого ЦС 1-го поколения присутствует в личном хранилище пользователя, но пользователь получил доступ, выбрав X , чтобы закрыть сообщение Oops, соберите журналы событий CAPI2, чтобы убедиться, что сертификат, используемый для проверки подлинности, был действительным сертификатом проверки подлинности клиента, который не был выдан из корневого ЦС VPN Майкрософт.

4. Если в личном хранилище пользователя существует действительный сертификат проверки подлинности клиента, а TLSExtensionsзначения , EKUNameи EKUOID настроены правильно, подключение не должно быть выполнено после закрытия пользователем диалогового окна.

Должно появиться сообщение об ошибке : "Не удалось найти сертификат, который можно использовать с расширяемым протоколом проверки подлинности".

Не удалось удалить сертификат на вкладке VPN-подключения

Эта проблема возникает, когда вы не можете удалить сертификаты на вкладке VPN-подключение.

Причина

Эта проблема возникает, если для сертификата задано значение Primary.

Решение: изменение параметров сертификата

Чтобы удалить сертификаты, выполните следующее:

1. На вкладке VPN-подключение выберите сертификат.
2. В разделе Основной выберите Нет, а затем нажмите кнопку Сохранить.
3. На вкладке VPN-подключение снова выберите сертификат.
4. Выберите Удалить.