在日常企业网络维护或远程办公场景中,用户经常会遇到“错误691”提示,尤其是在使用PPTP、L2TP或SSL-VPN等协议连接时,这个错误意味着“用户名或密码错误”,但实际原因可能远比表面复杂,作为一名资深网络工程师,我将从故障现象、常见成因到系统化排查步骤,为你提供一份实用、可操作的解决方案。
明确错误691的含义:这是PPP(点对点协议)认证失败的标准返回码,通常由RADIUS服务器或本地验证机制触发,当用户输入的账号或密码不正确,或者账户状态异常时,就会出现该错误,这并不一定代表用户输入有误——很多时候是配置、权限或网络层面的问题。
常见成因包括:
- 账号密码错误:最直接的原因,尤其是用户记错密码或密码过期未更新。
- 账号被禁用或锁定:很多企业使用AD域控或自建认证服务器,若用户多次输错密码,账户会被临时锁定。
- NAS(接入服务器)配置问题:如Radius服务器未正确响应、共享密钥不匹配、认证方式不一致(如PAP vs CHAP)。
- 本地客户端配置错误:比如IP地址池未分配、MTU设置不当导致分片失败,或DNS配置异常影响认证流程。
- 防火墙或中间设备拦截:某些公司防火墙会阻止PPTP的TCP 1723和GRE协议,造成连接中断。
- ISP限制或带宽策略:部分运营商对VPN流量进行限速或QoS标记,也可能导致认证超时。
如何一步步排查?
第一步:确认基础信息
让用户重新输入账号密码,并确保大小写、特殊字符无误,同时检查是否为多用户共用账号(常见于老旧系统),建议改用独立账户以增强安全性和可追踪性。
第二步:查看日志
登录RADIUS服务器(如FreeRADIUS、Windows NPS)或VPN网关(如Cisco ASA、华为USG),查阅认证日志,重点关注是否有“Invalid credentials”、“Account locked”或“User not found”等关键词,在Windows事件查看器中,可以查看“Microsoft-Windows-NPS/Operational”日志。
第三步:测试本地连通性
在用户电脑上执行以下命令:
ping <VPN网关IP>确认网络可达;tracert <VPN网关IP>查看是否中途丢包;telnet <VPN网关IP> 1723测试PPTP端口是否开放(注意:部分环境需启用GRE协议)。
第四步:检查NAS侧配置
如果是企业部署,需核对NAS设备(如路由器或专用VPN网关)的认证设置:
- Radius服务器IP、共享密钥是否一致;
- 用户属性(如允许访问时间、最大并发数)是否合规;
- 若使用本地用户数据库,确认密码策略是否强制要求复杂度。
第五步:排除网络层干扰
若以上都正常,可能是中间链路问题,建议使用抓包工具(Wireshark)捕获PPPoE或L2TP数据流,观察认证请求是否发送成功,以及服务器回应是否为691报文,如果发现大量重传或TCP SYN丢失,则可能是ISP或NAT设备的问题。
建议建立标准化运维流程:
- 定期清理无效账号;
- 启用双因素认证(如短信验证码+密码);
- 使用更现代的协议(如OpenVPN或WireGuard)替代老旧的PPTP,提升安全性与兼容性。
错误691看似简单,实则涉及身份认证、网络传输、设备配置等多个环节,作为网络工程师,我们不能只停留在“改密码”的层面,而应构建一套完整的排障思维框架,才能快速定位并解决问题,保障远程办公的稳定与安全。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
