在企业网络或远程办公环境中,使用虚拟专用网络(VPN)连接至内网是常见需求,许多用户在尝试拨号连接时,常常会遇到“错误691”——即“用户名或密码错误”的提示,作为网络工程师,我经常被要求协助解决此类问题,本文将从技术角度出发,系统性地分析错误691的根本原因,并提供一套行之有效的排查与修复流程。
明确错误691的本质:它并非表示网络不通,而是认证失败,当客户端向远端RADIUS服务器(如Windows Server NPS、华为AC、Cisco ACS等)提交用户名和密码后,若服务器返回认证拒绝响应,则会触发此错误码,问题核心通常不在物理链路或IP配置,而在于身份验证环节。
常见的原因包括:
- 账号密码错误:最直接的原因,可能是用户输入错误或密码过期,建议用户检查大小写、特殊字符是否正确,必要时重置密码。
- 账号未启用或被锁定:某些AD域控策略中,账户可能因多次失败登录被锁定,需联系管理员解锁或检查账户状态。
- 认证服务器配置异常:例如RADIUS服务器未正确配置用户数据库,或与NAS(接入服务器)之间的共享密钥不匹配,这需要网络工程师检查Radius协议通信日志,确认Nas-Identifier、Shared Secret等参数一致。
- 本地拨号配置错误:如PPP协议设置不当(如CHAP/PAP模式不兼容)、MTU过大导致分片失败,也可能间接引发认证超时或失败。
- 防火墙/ACL拦截:某些安全设备可能误判PPTP/L2TP流量为恶意行为,阻止了认证请求,应检查防火墙规则是否放行UDP 1701(L2TP)或TCP 1723(PPTP)端口。
- 客户端系统问题:如Windows系统中的网络适配器驱动损坏、证书信任链异常,也会导致无法完成认证握手。
排查步骤建议如下:
- 第一步:让客户重新输入凭证并尝试连接;
- 第二步:在客户端执行
ping <RADIUS_IP>和telnet <RADIUS_IP> 1812测试连通性; - 第三步:在RADIUS服务器查看日志,定位具体拒绝原因(如Accounting not enabled, Invalid password等);
- 第四步:检查本地NAS配置(如ASA防火墙或路由器)是否正确指向RADIUS服务器;
- 第五步:若仍无效,可启用调试模式(如Cisco的debug aaa authentication)捕获详细过程。
错误691虽常见,但通过结构化排查可快速定位根源,作为网络工程师,不仅要懂配置,更要理解认证协议背后的工作机制,才能高效解决问题,保障远程用户的稳定访问体验。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
