الشبكات والاتصال عن بُعد 20 دقائق للقراءة

استكشاف أخطاء VPN وتشخيص الشبكات للمؤسسات: دليل شامل 2026

دليل شامل لفنيي الدعم الفني يغطي تشخيص أخطاء VPN، أكواد أخطاء Windows، إعداد Always On VPN، مشاكل macOS، Split Tunneling، والانتقال إلى بنية الثقة المعدومة (ZTNA) مع WireGuard في 2026.

Editorial Team

مقدمة: تذاكر الـ VPN لا تزال تُغرق قائمة الانتظار

لنكن صريحين — إذا كنت فني دعم فني في 2026، فأنت تعرف هذا المشهد جيداً: رغم كل الكلام عن بنية الثقة المعدومة (ZTNA) وأن "الـ VPN في طريقه للزوال"، إلا أن اتصالات VPN التقليدية لا تزال هي العمود الفقري للوصول عن بُعد في أغلب المؤسسات. وعندما تتعطل — وصدقني، ستتعطل بانتظام — تضيء قائمة التذاكر عندك كشجرة عيد الميلاد.

سواء كان موظفاً يعمل من المنزل ولا يستطيع الاتصال عبر الـ Wi-Fi، أو مندوب مبيعات عالق في فندق والـ VPN يرفض المصادقة، أو حتى مكتب فرعي كامل فقد الاتصال فجأة بعد تحديث Windows — استكشاف أخطاء VPN يبقى من أهم المهارات التي يحتاجها أي فني دعم فني. البروتوكولات تتطور باستمرار (IKEv2 وWireGuard يحلّان محل L2TP وPPTP القديمين)، لكن أساسيات تشخيص وإصلاح اتصالات VPN المعطّلة؟ هذه لم تتغير.

هذا الدليل مُصمَّم لفنيي الدعم الفني الذين يحتاجون لحل مشاكل VPN بسرعة ومنهجية. سنغطي كل شيء — من فرز المستوى الأول (الحلول السريعة التي تغلق التذاكر في دقائق) وصولاً إلى التشخيصات المتقدمة مع سجلات الأحداث وأكواد الأخطاء والإصلاحات الخاصة بكل بروتوكول على Windows وmacOS. وسنتعمق أيضاً في إعدادات Split Tunneling ومشاكل Always On VPN من Microsoft، وكيفية تجهيز فريقك للانتقال إلى ZTNA الذي بدأ فعلاً.

فهم بروتوكولات VPN الحديثة: ما الذي يتصل به المستخدمون فعلاً؟

قبل أن تبدأ باستكشاف أي مشكلة VPN، تحتاج أن تعرف البروتوكول المُستخدم. وهذا أهم مما يظن معظم الناس. البروتوكولات المختلفة تفشل بطرق مختلفة، والحل لفشل تفاوض IKEv2 مختلف تماماً عن خطأ مصادقة L2TP/IPsec.

إليك نظرة سريعة على البروتوكولات التي ستصادفها أكثر في بيئات المؤسسات.

IKEv2/IPsec — المعيار المؤسسي

بروتوكول Internet Key Exchange الإصدار الثاني هو الخيار الافتراضي لمعظم نشرات VPN المؤسسية الحديثة، بما في ذلك Microsoft Always On VPN. يستخدم منافذ UDP رقم 500 و4500، ويدعم MOBIKE (الذي يسمح للاتصالات بالبقاء حتى عند تغيير الشبكة — مثل التبديل من Wi-Fi إلى بيانات الجوال)، ويتعامل مع NAT traversal بشكل جيد. سريع ومستقر ويعمل أصلياً على Windows وmacOS وiOS وAndroid.

الجانب السلبي؟ IKEv2 حساس جداً لإعدادات الشهادات وروابط الأمان. وعندما يتعطل، رسائل الخطأ قد تكون مُحبطة وغامضة للغاية.

L2TP/IPsec — قديم لكنه لا يزال موجوداً

بروتوكول Layer 2 Tunneling Protocol عبر IPsec هو بروتوكول أقدم لا تزال كثير من المؤسسات تعمل به — أحياناً لأن لا أحد وجد وقتاً للترحيل، وأحياناً لأن أجهزة قديمة تتطلبه. يستخدم منفذ UDP رقم 1701 (مُغلَّف في IPsec على المنفذين 500 و4500). L2TP شائع في البيئات التي تحتوي على جدران حماية وأجهزة VPN قديمة.

بصراحة، Windows 11 أضاف عدة مشاكل توافقية مع L2TP، خصوصاً حول تفاوض طبقة الأمان. وهذا واحد من أكثر مصادر تذاكر الدعم الفني التي أراها بشكل متكرر.

SSTP — خيار Microsoft الصديق لجدران الحماية

بروتوكول Secure Socket Tunneling يُغلّف حركة مرور VPN داخل HTTPS (منفذ TCP رقم 443)، مما يجعل حجبه شبه مستحيل. إنه بديل ممتاز عندما يُحجب IKEv2 بواسطة جدران حماية مقيّدة في الفنادق والمطارات ومواقع العملاء. العيب هو أن SSTP يعمل أصلياً على Windows فقط، مما يحد من فائدته لمستخدمي macOS.

WireGuard — المنافس الصاعد

WireGuard هو اللاعب الجديد في الساحة، ويكتسب زخماً كبيراً. يستخدم UDP (عادةً المنفذ 51820) وهو أسرع بشكل ملحوظ من OpenVPN مع كونه أبسط في الإعداد. كثير من موفري VPN التجاريين يستخدمون الآن WireGuard كبروتوكول افتراضي. على مستوى المؤسسات، حلول مثل Tailscale وCloudflare WARP مبنية على WireGuard.

توقع أن ترى المزيد من هذا في بيئتك قريباً.

OpenVPN — المخضرم المرن

OpenVPN لا يزال شائعاً، خاصة في البيئات متعددة المنصات والمؤسسات التي تستخدم جدران حماية مفتوحة المصدر مثل pfSense أو OPNsense. يمكنه العمل عبر UDP أو TCP وهو قابل للتخصيص بدرجة عالية. لكن تعقيده يعني أشياء أكثر يمكن أن تخطئ — عدم تطابق ملفات الإعداد، ومشاكل سلسلة الشهادات، وفشل مصافحة TLS كلها صداع شائع في الدعم الفني.

فرز المستوى الأول: إصلاحات الخمس دقائق

عندما تصلك تذكرة VPN، هدفك الأول هو استبعاد الأشياء البسيطة قبل التصعيد. ستتفاجأ بعدد مشاكل VPN — حوالي 40% حسب تقديرات الصناعة — التي تُحل بفحوصات أساسية. درّب فريق المستوى الأول على المرور بهذه القائمة قبل فعل أي شيء آخر:

1. تحقق من اتصال الإنترنت

هذا يبدو بديهياً، لكنه السبب الجذري الأكثر شيوعاً. جدياً. اطلب من المستخدم قطع الاتصال بالـ VPN تماماً ومحاولة تحميل موقع ويب. إذا كان الإنترنت معطلاً عنده، فالـ VPN لن يعمل بغض النظر عن أي إعدادات.

# فحص سريع للاتصال (Windows)
ping 8.8.8.8 -n 4
nslookup google.com

# فحص سريع للاتصال (macOS)
ping -c 4 8.8.8.8
nslookup google.com

إذا فشل تحليل DNS لكن نجح الـ ping على عنوان IP، فالمشكلة في DNS وليست في الـ VPN. اطلب من المستخدم التبديل مؤقتاً إلى خادم DNS عام (8.8.8.8 أو 1.1.1.1) للاختبار.

2. أعد تشغيل عميل الـ VPN

أغلق تطبيق VPN بالكامل — ليس مجرد قطع الاتصال، بل أغلقه تماماً وأعد فتحه. على Windows، تحقق من العمليات المعلّقة في مدير المهام. عملية rasdial أو rasphone معلّقة يمكن أن تمنع إنشاء اتصالات جديدة.

# إنهاء عمليات VPN المعلقة (Windows PowerShell - مسؤول)
Get-Process rasdial, rasphone -ErrorAction SilentlyContinue | Stop-Process -Force

# إعادة تشغيل خدمة Remote Access Connection Manager
Restart-Service RasMan -Force
Restart-Service SstpSvc -Force

3. تحقق من تحديثات عميل VPN

عملاء VPN القديمون هم السبب الأكثر شيوعاً لفشل الاتصال في 2026، خاصة مع البروتوكولات المبنية على WireGuard التي تتطور بسرعة. تحقق من أن المستخدم يشغّل أحدث إصدار من عميل VPN الخاص به (GlobalProtect أو Cisco AnyConnect أو Fortinet FortiClient وغيرها). هذه الخطوة وحدها تحل تذاكر أكثر مما تتخيل.

4. جرّب خادماً أو بروتوكولاً مختلفاً

إذا كان عميل VPN يدعم عدة خوادم أو بروتوكولات، اطلب من المستخدم التبديل إلى بديل. بوابة VPN مزدحمة أو متوقفة يسهل تشخيصها إذا نجح خادم آخر فوراً. وبالمثل، التبديل من IKEv2 إلى SSTP (أو العكس) يمكن أن يتجاوز حجب بروتوكول معين.

5. تحقق من البرامج المتعارضة

جدران الحماية الخارجية وبرامج مكافحة الفيروسات وعملاء VPN الآخرون معروفون بتداخلهم مع اتصالات VPN. تعطيل جدار حماية Windows Defender مؤقتاً أو برنامج حماية نقطة النهاية يمكن أن يؤكد ما إذا كان شيء ما يحجب النفق. (فقط تأكد أنهم يعيدون تفعيله بعد ذلك — لا تريد إنشاء حادث أمني أثناء إصلاح مشكلة اتصال.)

أكواد أخطاء VPN في Windows: مرجع سريع لفريق الدعم

عندما يفشل عميل VPN المدمج في Windows، يُرجع كود خطأ رقمي. هذه الأكواد هي صديقك الأفضل حرفياً — تخبرك بالضبط أين فشل التفاوض. إليك الأكواد التي ستراها أكثر:

الخطأ 691 — فشل المصادقة

تم رفض الاتصال عن بُعد لأن مجموعة اسم المستخدم وكلمة المرور غير معروفة، أو بروتوكول المصادقة المختار غير مسموح به على خادم الوصول عن بُعد.

الحل: تحقق من بيانات الاعتماد أولاً. ثم تأكد مما إذا كان حساب المستخدم مقفلاً في Active Directory. على خادم NPS، تأكد من أن سياسة الشبكة تسمح بطريقة مصادقة المستخدم (EAP-TLS أو PEAP-MSCHAPv2 وغيرها).

الخطأ 800 — خادم VPN غير قابل للوصول

فشل نفق VPN لأن الخادم قد يكون غير قابل للوصول، أو معلمات الأمان لـ IPsec غير مُعدَّة بشكل صحيح.

الحل: تحقق من أن FQDN أو IP الخاص بخادم VPN يُحلّل بشكل صحيح. تأكد من أن UDP 500 و4500 (لـ IKEv2) أو TCP 443 (لـ SSTP) غير محجوبة بواسطة جدار الحماية المحلي أو مزود الإنترنت. اختبر باستخدام Test-NetConnection:

# اختبار الاتصال بخادم VPN (PowerShell)
Test-NetConnection -ComputerName vpn.company.com -Port 443
Test-NetConnection -ComputerName vpn.company.com -Port 500 -InformationLevel Detailed

الخطأ 809 — لم يتم إنشاء اتصال الشبكة

تعذر إنشاء الاتصال بين جهازك وخادم VPN لأن الخادم البعيد لا يستجيب. هذا غالباً بسبب جدار حماية أو جهاز NAT أو موجّه بين العميل والخادم غير مُعدّ للسماح بحركة مرور VPN.

الحل: إذا كان المستخدم خلف NAT مؤسسي، تحقق من تفعيل IPsec passthrough على جدار الحماية. لاتصالات L2TP، تحقق مما إذا كان مفتاح الريجستري AssumeUDPEncapsulationContextOnSendRule مُعدّاً:

# إصلاح عبور NAT لـ L2TP (PowerShell - مسؤول)
# هذا المفتاح يُمكّن اتصالات L2TP/IPsec عبر NAT
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\PolicyAgent" `
    -Name "AssumeUDPEncapsulationContextOnSendRule" `
    -Value 2 -PropertyType DWORD -Force

# يتطلب إعادة تشغيل الجهاز بعد هذا التغيير
Restart-Computer

الخطأ 812 — عدم تطابق طريقة المصادقة

طريقة المصادقة المستخدمة من الخادم لا تتطابق مع ما هو مُعدّ في ملف الاتصال.

الحل: على خادم NPS، تحقق من إعدادات المصادقة في سياسة الشبكة. تأكد من أن ملف VPN الخاص بالعميل مُعدّ لنفس طريقة المصادقة (مثل EAP-TLS مقابل PEAP). هذا الخطأ شائع بشكل خاص بعد تغييرات سياسة NPS التي لم يتم إبلاغ فريق الدعم بها — لا تسألني كيف أعرف ذلك.

الخطأ 853 — مشكلة في مخزن الشهادات

يحدث عادةً بسبب شهادة مرجع الشهادات (CA) المُصدِرة المفقودة في مخزن NTAuth على خادم NPS.

الحل: تحقق من اكتمال سلسلة شهادات CA. على خادم NPS، افتح certlm.msc وتحقق من مخازن الشهادات الوسيطة والجذرية. على العميل، نفّذ:

# التحقق من سلسلة الشهادات على العميل (PowerShell)
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "*YourCA*"}
Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*VPN*"}

الخطأ 13868 — عدم تطابق سياسة IKEv2

يُترجم هذا إلى ERROR_IPSEC_IKE_POLICY_MATCH — ببساطة، سياسة أمان IKEv2 على العميل لا تتطابق مع إعدادات الخادم.

الحل: هذه مشكلة في إعدادات جانب الخادم. اقتراح IKEv2 (خوارزمية التشفير، خوارزمية التكامل، مجموعة DH) يجب أن يتطابق بين العميل والخادم. تحقق من سياسة IPsec المخصصة على خادم RRAS. السبب الشائع هنا: تم تحديث الخادم ليتطلب AES-GCM-256 لكن ملف العميل لا يزال يتوقع AES-CBC-256.

استكشاف أخطاء VPN على macOS: صداع خاص بالمنصة

مشاكل VPN على macOS تستحق قسمها الخاص لأن Apple تستمر في تغيير القواعد. يبدو أن كل إصدار رئيسي من macOS يُلغي أو يكسر شيئاً متعلقاً بالـ VPN، و2025-2026 لم تكن استثناءً. إذا كنت تدعم مستخدمي Mac، استعد جيداً.

كسر IKEv2 على macOS Sonoma وSequoia وTahoe

بدءاً من macOS 14 Sonoma، غيّرت Apple خوارزميات التشفير المقبولة لاتصالات IKEv2 المُعدَّة عبر ملفات التكوين. ملفات كانت تعمل بشكل مثالي على Monterey وVentura توقفت فجأة عن الاتصال — مع الحد الأدنى من التوضيح من Apple بطبيعة الحال. macOS Tahoe (إصدار 26) استمر في هذا الاتجاه، وأزال دعم خوارزميات قديمة إضافية.

الحل: حدّث خادم VPN ليدعم التشفيرات الحديثة. تحديداً، تأكد من أن خادمك يقدم:

  • AES-GCM-256 للتشفير
  • SHA-256 أو SHA-384 للتكامل
  • ECP_256 (المجموعة 19) أو ECP_384 (المجموعة 20) لـ Diffie-Hellman

إذا كنت تدير ملفات تكوين VPN عبر MDM (مثل Jamf أو Intune أو Mosyle)، حدّث معلمات IKESecurityAssociationParameters وChildSecurityAssociationParameters في الملف لتستخدم هذه الخوارزميات بشكل صريح.

مراوغات عميل VPN المدمج في macOS

عميل VPN الأصلي في macOS (إعدادات النظام ← VPN) لديه بعض السلوكيات المعروفة التي ستفاجئك إذا لم تكن تتوقعها:

  • الاتصال عند الطلب (Connect On Demand): إذا عطّلت هذه الميزة بعد تفعيلها، قد تحتاج لحذف وإعادة إنشاء ملف VPN بالكامل. نعم، الأمر مزعج.
  • مصادقة الشهادات: يتطلب macOS أن يتطابق حقل SAN (اسم الموضوع البديل) في شهادة خادم VPN تماماً مع حقل Remote ID. عدم التطابق يفشل بصمت بدون أي رسالة خطأ مفيدة.
  • ملفات التكوين مقابل الإعداد اليدوي: اتصالات VPN المنشورة عبر ملفات تكوين MDM تتصرف بشكل مختلف عن تلك المنشأة يدوياً. الاتصالات المبنية على ملفات تكوين لا يمكن للمستخدم تعديلها، وهذا جيد للأمان لكنه يصعّب استكشاف الأخطاء من جانب الدعم الفني.

جمع سجلات VPN على macOS

macOS لا يمنحك Event Viewer، لكنه يوفر نظام السجلات الموحد. إليك كيفية التقاط سجلات متعلقة بالـ VPN:

# التقاط سجلات VPN في الوقت الحقيقي على macOS
log stream --predicate 'subsystem == "com.apple.networkextension"' --level debug

# البحث في السجلات الأخيرة عن إدخالات متعلقة بالـ VPN
log show --predicate 'subsystem == "com.apple.networkextension"' --last 30m

# التصدير إلى ملف للمراجعة
log show --predicate 'subsystem == "com.apple.networkextension" OR subsystem == "com.apple.ipsec"' --last 1h > ~/Desktop/vpn_logs.txt

لعملاء VPN الخارجيين (GlobalProtect أو Cisco AnyConnect)، تحقق من مجلدات السجلات الخاصة بهم — عادةً تجدها تحت /Library/Logs/ أو ~/Library/Logs/.

Microsoft Always On VPN: استكشاف أخطاء المعيار المؤسسي

أصبح Microsoft Always On VPN (اختصاراً AOVPN) البديل الفعلي لـ DirectAccess في بيئات Windows المؤسسية. يستخدم IKEv2 (مع SSTP كخيار احتياطي)، ويتكامل مع Entra ID Conditional Access، ويدعم أنفاق المستخدم والجهاز. لكن عندما يتعطل — وسيحدث ذلك — يمكن أن يكون واحداً من أكثر تقنيات VPN إحباطاً في استكشاف أخطائها، لأن مكونات كثيرة يجب أن تعمل معاً بشكل مثالي.

تدفق اتصال AOVPN

فهم تدفق الاتصال يساعدك على عزل مكان حدوث الفشل. كل خطوة تعتمد على نجاح الخطوة السابقة:

  1. تشغيل الملف: يتم تفعيل ملف VPN (يدوياً أو عند تسجيل الدخول أو عبر Connect On Demand)
  2. تحليل DNS: يحلّل العميل اسم FQDN لخادم VPN
  3. IKE_SA_INIT: يبدأ العميل تفاوض رابطة أمان IKEv2 على UDP 500
  4. IKE_AUTH: تحدث المصادقة بالشهادة أو EAP
  5. تقييم NPS: يقيّم خادم سياسة الشبكة طلب الاتصال وفقاً لسياسات الشبكة
  6. إنشاء النفق: يتم إنشاء نفق IPsec ودفع المسارات

تحليل سجل أحداث AOVPN

أهم أداة تشخيصية لـ Always On VPN هي سجل أحداث Windows. ابحث عن أحداث من مصدر RasClient في سجل التطبيقات:

# استعلام أحداث RasClient (PowerShell)
Get-WinEvent -LogName Application -MaxEvents 50 |
    Where-Object {$_.ProviderName -eq "RasClient"} |
    Format-Table TimeCreated, Id, Message -AutoSize -Wrap

# البحث تحديداً عن حالات فشل الاتصال
Get-WinEvent -LogName Application -MaxEvents 100 |
    Where-Object {$_.ProviderName -eq "RasClient" -and $_.LevelDisplayName -eq "Error"} |
    Select-Object TimeCreated, Id, Message

معرف الحدث 20227 هو الذي ستراه أكثر. يشير إلى فشل اتصال VPN ويتضمن كود الخطأ في نهاية الرسالة. قارن كود الخطأ هذا بالجدول في القسم السابق.

مشاكل نفق الجهاز مقابل نفق المستخدم

يدعم AOVPN نوعين من الأنفاق: نفق الجهاز (يتصل قبل تسجيل دخول المستخدم، يُستخدم لمصادقة الجهاز وإدارة Intune) ونفق المستخدم (يتصل بعد تسجيل الدخول، يوفر الوصول إلى موارد خاصة بالمستخدم). يتم نشرهما كملفات VPN منفصلة، ويمكن أن يفشل كل منهما بشكل مستقل.

إليك سيناريو رأيته يتكرر كثيراً: نفق الجهاز يتصل بنجاح، لكن نفق المستخدم يفشل بشكل متقطع. هذا غالباً سببه:

  • توقيت نشر الملف: لم يتم تسليم ملف نفق المستخدم بعد عبر Intune/SCCM
  • تخزين بيانات الاعتماد مؤقتاً: شهادة المستخدم لم يتم تسجيلها أو انتهت صلاحيتها
  • ترتيب سياسات NPS: تُعالج سياسات شبكة NPS بالترتيب — إذا تطابقت سياسة "رفض" قبل سياسة "سماح" لأنفاق المستخدم، يتم رفض الاتصال بصمت

تشخيصات خادم NPS

خادم سياسة الشبكة هو حارس البوابة لمصادقة Always On VPN. عندما يرفض NPS اتصالاً، يسجل السبب في سجلات المحاسبة:

# موقع سجل NPS الافتراضي
# C:\Windows\System32\LogFiles\IN*.txt

# فحص سجلات أحداث NPS (PowerShell)
Get-WinEvent -LogName "Security" -MaxEvents 50 |
    Where-Object {$_.Id -in @(6272, 6273, 6274, 6275)} |
    Format-Table TimeCreated, Id, Message -AutoSize

# الحدث 6272 = تم منح الوصول
# الحدث 6273 = تم رفض الوصول
# الحدث 6274 = تم تجاهل الطلب
# الحدث 6275 = تم تجاهل الطلب (محاسبة)

Split Tunneling: الإعداد واستكشاف الأخطاء والمقايضات الأمنية

Split tunneling هو من تلك الإعدادات التي تُولّد تذاكر دعم فني ونقاشات حادة في اجتماعات الأمان في آنٍ واحد. إذاً، دعونا نتعمق في كيفية عمله — والأهم، متى يتعطل.

Full Tunnel مقابل Split Tunnel: الأساسيات

Full tunnel يوجّه كل حركة المرور عبر الـ VPN — تصفح الإنترنت والبث وكل شيء. هو الخيار الأكثر أماناً لأن كل الحركة مُشفَّرة ومُفحَصة، لكنه أيضاً الأبطأ. المستخدمون على full tunnel كثيراً ما يشتكون من بطء الإنترنت ومشاكل جودة مكالمات الفيديو وعدم القدرة على الوصول إلى موارد الشبكة المحلية مثل طابعات المنزل.

Split tunnel يوجّه فقط حركة مرور محددة (عادةً وجهات الشبكة المؤسسية) عبر الـ VPN. كل شيء آخر يذهب مباشرة إلى الإنترنت. أسرع وأكثر كفاءة في عرض النطاق، لكنه يعني أن بعض الحركة تتجاوز ضوابط الأمان المؤسسية.

مشاكل Split Tunneling الشائعة

المشكلة 1: "أستطيع الوصول للإنترانت لكن ليس الإنترنت" (أو العكس)

هذا عادةً يشير إلى مشكلة في جدول التوجيه. عندما يتصل الـ VPN، يدفع مسارات إلى العميل. إذا كانت البوابة الافتراضية (0.0.0.0/0) تُدفع عندما يجب أن يكون split tunneling نشطاً، فكل الحركة تمر عبر الـ VPN — ويعتمد الوصول للإنترنت على إعدادات خروج الإنترنت من خادم VPN.

# فحص جدول التوجيه بعد اتصال VPN (Windows)
route print | findstr /i "0.0.0.0"
Get-NetRoute -AddressFamily IPv4 | Sort-Object RouteMetric | Format-Table -AutoSize

# فحص جدول التوجيه (macOS)
netstat -rn | grep default
route -n get default

المشكلة 2: تسرب DNS مع split tunnel

مع split tunneling، يجب أن تمر استعلامات DNS للموارد الداخلية عبر خوادم DNS الخاصة بالـ VPN، بينما تستخدم استعلامات DNS العامة الـ DNS المحلي. إذا لم يكن جدول سياسة تحليل الأسماء (NRPT) مُعدّاً بشكل صحيح، قد لا يستطيع المستخدمون تحليل أسماء المضيفين الداخلية. هذه مشكلة خبيثة لأن كل شيء آخر يبدو يعمل بشكل طبيعي.

# فحص قواعد NRPT على Windows (PowerShell)
Get-DnsClientNrptRule | Format-Table Name, Namespace, NameServers -AutoSize

# التحقق من خادم DNS الذي يتعامل مع استعلام محدد
Resolve-DnsName intranet.company.com -DnsOnly | Select-Object Name, IPAddress
nslookup intranet.company.com

المشكلة 3: الوصول إلى الموارد المحلية (الطابعات، NAS، إلخ)

إعدادات full tunnel VPN غالباً تكسر الوصول إلى موارد الشبكة المحلية. يبلّغ المستخدمون أنهم لا يستطيعون الطباعة على طابعة المنزل أو الوصول إلى محرك NAS أثناء الاتصال بالـ VPN. الحل عادةً هو إضافة مسارات استثناء للشبكة الفرعية المحلية أو التبديل إلى split tunneling.

أفضل الممارسات الأمنية لـ Split Tunneling

  • استخدم split tunneling بالتضمين: حدد الشبكات التي تمر عبر VPN (الشبكات الفرعية المؤسسية) بدلاً من محاولة استبعاد نطاقات الإنترنت العامة
  • فرض سياسات DNS: عدّ قواعد NRPT لضمان أن استعلامات DNS المؤسسية تستخدم دائماً خوادم DNS الداخلية
  • مراقبة امتثال نقطة النهاية: إذا كان الجهاز يتجاوز VPN لحركة الإنترنت، تأكد من أن حماية نقطة النهاية (EDR وتصفية الويب) نشطة على الجهاز نفسه
  • تدقيق دوري: راجع إعدادات split tunnel كل ربع سنة — تغييرات الشبكة (شبكات فرعية جديدة، ترحيل سحابي) قد تتطلب تحديث المسارات

تقنيات التشخيص المتقدمة لتصعيدات الدعم الفني

عندما لا تحل فحوصات المستوى الأول المشكلة، حان وقت التعمق أكثر. هذه التقنيات مخصصة لتصعيدات المستوى الثاني والثالث أو لفنيي الدعم المتقدمين الذين يريدون حل المشاكل المعقدة دون التصعيد فوراً لفريق الشبكات.

التقاط الحزم لتشخيص VPN

أحياناً تحتاج فقط أن ترى ما يحدث فعلاً على الشبكة. الخبر الجيد أنك لا تحتاج Wireshark مثبتاً على كل جهاز مستخدم. Windows لديه أداة التقاط حزم مدمجة تعمل بشكل جيد بشكل مفاجئ:

# بدء التقاط الحزم على Windows (PowerShell كمسؤول)
netsh trace start capture=yes tracefile=C:\Temp\vpn_trace.etl scenario=VPN

# أعد إنتاج مشكلة اتصال VPN، ثم أوقف التتبع
netsh trace stop

# يمكن فتح ملف .etl في Microsoft Network Monitor أو تحويله:
# netsh trace convert input=C:\Temp\vpn_trace.etl output=C:\Temp\vpn_trace.txt

على macOS، استخدم tcpdump لالتقاط حركة مرور VPN:

# التقاط حركة تفاوض IKEv2 على macOS
sudo tcpdump -i en0 -w ~/Desktop/vpn_capture.pcap port 500 or port 4500

# التقاط كل الحركة على واجهة VPN (عادةً utun0 أو utun1)
sudo tcpdump -i utun0 -w ~/Desktop/vpn_tunnel_traffic.pcap

تشخيصات VPN في Windows باستخدام rasphone

أدوات rasphone وrasdial المدمجة توفر بعض التشخيصات الإضافية المفيدة:

# محاولة اتصال VPN من سطر الأوامر مع مخرجات مفصلة
rasdial "VPN Connection Name" username password

# عرض جميع اتصالات VPN
rasphone -h

# قطع اتصال VPN معلق
rasdial "VPN Connection Name" /disconnect

التحقق من سلسلة الشهادات

مشاكل الشهادات هي القاتل الصامت لاتصالات IKEv2. خادم VPN والعميل وخادم NPS كلهم يحتاجون الشهادات الصحيحة في المخازن الصحيحة — وإذا انكسر أي حلقة في تلك السلسلة، يفشل الاتصال. استخدم هذا السكربت للتحقق:

# التحقق الشامل من الشهادات لـ VPN (PowerShell)
Write-Host "=== شهادات CA الجذرية ===" -ForegroundColor Cyan
Get-ChildItem Cert:\LocalMachine\Root |
    Where-Object {$_.NotAfter -gt (Get-Date)} |
    Select-Object Subject, Thumbprint, NotAfter | Format-Table -AutoSize

Write-Host "`n=== شهادات الكمبيوتر الشخصية ===" -ForegroundColor Cyan
Get-ChildItem Cert:\LocalMachine\My |
    Select-Object Subject, Thumbprint, NotAfter,
    @{N='HasPrivateKey';E={$_.HasPrivateKey}} | Format-Table -AutoSize

Write-Host "`n=== شهادات المستخدم الشخصية ===" -ForegroundColor Cyan
Get-ChildItem Cert:\CurrentUser\My |
    Select-Object Subject, Thumbprint, NotAfter,
    @{N='HasPrivateKey';E={$_.HasPrivateKey}} | Format-Table -AutoSize

VPN والانتقال إلى الثقة المعدومة: ما يحتاج فريق الدعم لمعرفته

لا يمكن كتابة دليل استكشاف أخطاء VPN في 2026 دون التطرق للأمر الواضح: بنية الثقة المعدومة (ZTNA) تحل بشكل فعّال محل VPN التقليدي في كثير من المؤسسات. وفقاً لاستطلاعات حديثة، 93% من مسؤولي أمن المعلومات يخططون لاستبدال شبكات VPN الخاصة بهم بحلول ZTNA بحلول 2027. هذا رقم مذهل.

لكن هذا لا يعني أن تذاكر VPN ستختفي بين ليلة وضحاها — لكن طبيعة عمل استكشاف الأخطاء تتغير بالتأكيد.

لماذا تبتعد المؤسسات عن VPN

  • خطر الحركة الجانبية: شبكات VPN التقليدية تمنح وصولاً على مستوى الشبكة. بمجرد اتصال المستخدم، يمكنه الوصول المحتمل لأي مورد على الشبكة. ZTNA يمنح وصولاً على مستوى التطبيق فقط.
  • ثغرات VPN: أجهزة VPN كانت ناقل هجوم رئيسي في السنوات الأخيرة. ثغرات بارزة في منتجات Fortinet وPulse Secure وCitrix وIvanti VPN أدت إلى اختراقات واسعة النطاق.
  • تجربة المستخدم: اتصالات ZTNA عادةً أسرع، ولا تتطلب من المستخدمين "تذكّر الاتصال"، وتعمل بسلاسة من أي شبكة.
  • البنيات السحابية أولاً: عندما تعيش تطبيقاتك في Azure وAWS ومنصات SaaS، توجيه الحركة عبر مُركِّز VPN محلي يضيف فقط تأخيراً بلا فائدة.

كيف يبدو ZTNA في الممارسة العملية

حلول مثل Microsoft Entra Private Access وZscaler Private Access وCloudflare Access وPalo Alto Prisma Access هي منصات ZTNA التي ستصادفها أكثر. من منظور الدعم الفني، نموذج استكشاف الأخطاء يتغير بشكل كبير:

  • لا مزيد من عميل VPN: يصل المستخدمون للموارد عبر وكيل خفيف أو المتصفح — بدون دورة اتصال/قطع اتصال يدوية
  • وصول مبني على الهوية: قرارات الوصول مبنية على هوية المستخدم ووضعية الجهاز (حالة الامتثال، إصدار نظام التشغيل، حالة EDR) وإشارات المخاطر الفورية
  • اتصال خاص بالتطبيق: يتصل المستخدمون بتطبيقات محددة وليس بقطاعات شبكة كاملة. "لا أستطيع الوصول لخادم الملفات" تصبح "لا أستطيع الوصول لـ SharePoint" — وهذا مسار استكشاف أخطاء مختلف تماماً
  • تقييم مستمر: على عكس نموذج VPN "اتصل مرة واثق للأبد"، يقيّم ZTNA الثقة باستمرار. جهاز يخرج عن الامتثال أثناء الجلسة قد يفقد الوصول فوراً

تجهيز فريق الدعم للانتقال

إذا كانت مؤسستك تخطط للانتقال إلى ZTNA، ابدأ التحضير الآن. لا تنتظر حتى يبدأ الترحيل فعلاً.

  1. تعلّم المنصات الجديدة: احصل على تجربة عملية مع حل ZTNA الذي اختارته مؤسستك. افهم وحدة التحكم الإدارية والسجلات وأدوات استكشاف الأخطاء
  2. حدّث قاعدة المعرفة: أنشئ كتيبات تشغيل لمشاكل ZTNA الخاصة (فشل وضعية الجهاز، حجب الوصول الشرطي، مشاكل موصل التطبيق)
  3. توقع فترة هجينة: أغلب المؤسسات ستشغّل VPN وZTNA بالتوازي أثناء الترحيل. فريقك سيحتاج لاستكشاف أخطاء كليهما — أحياناً في نفس الوقت لنفس المستخدم
  4. ركّز على الهوية: مع ZTNA، كثير من مشاكل "الاتصال" هي في الواقع مشاكل هوية أو امتثال. عزّز مهاراتك في استكشاف أخطاء Entra ID وامتثال الأجهزة الآن

بناء كتيب تشغيل لاستكشاف أخطاء VPN لفريقك

كل فريق دعم فني يجب أن يملك كتيب تشغيل موحد لاستكشاف أخطاء VPN. إليك نموذجاً يمكنك تكييفه لبيئتك — لا تتردد في تعديله حسب إعدادات VPN والموردين لديك.

قائمة مراجعة المستوى الأول (الهدف: الحل خلال 15 دقيقة)

  1. تحقق من اتصال الإنترنت بدون VPN
  2. تأكد من أن عميل VPN بأحدث إصدار
  3. أعد تشغيل عميل VPN وأعد المحاولة
  4. جرّب خادم/بوابة VPN بديلة
  5. جرّب بروتوكول VPN بديل (إن وُجد)
  6. تحقق من تحديثات Windows/macOS التي قد تكون كسرت VPN
  7. عطّل جدار الحماية/مكافح الفيروسات الخارجي مؤقتاً
  8. وثّق كود الخطأ أو الرسالة وصعّد إذا لم يُحل

قائمة مراجعة المستوى الثاني (الهدف: الحل خلال ساعة)

  1. راجع سجل أحداث Windows أو سجلات macOS الموحدة بحثاً عن أخطاء RasClient
  2. قارن كود الخطأ بالمشاكل المعروفة (راجع جدول أكواد الأخطاء أعلاه)
  3. تحقق من صلاحية الشهادات وسلسلتها على العميل
  4. افحص جدول التوجيه بحثاً عن تعارضات أو مسارات مفقودة
  5. تحقق من تحليل DNS لـ FQDN خادم VPN والموارد الداخلية
  6. اختبر الاتصال بمنافذ VPN (500 و4500 و443) باستخدام Test-NetConnection
  7. تحقق من سجلات NPS بحثاً عن فشل المصادقة (معرف الحدث 6273)
  8. راجع Active Directory بحثاً عن قفل الحساب أو كلمات المرور المنتهية

معلومات يجب جمعها قبل التصعيد للمستوى الثالث

  • كود الخطأ الدقيق ورسالة الخطأ الكاملة
  • إصدار عميل VPN والبروتوكول المستخدم
  • إصدار نظام التشغيل والتحديثات الأخيرة
  • بيئة الشبكة (Wi-Fi منزلي، فندق، مكتب، نقطة اتصال جوال)
  • تصدير سجلات الأحداث (أحداث RasClient من سجل التطبيقات)
  • التقاط حزم إن أمكن (netsh trace أو tcpdump)
  • لقطات شاشة لإعدادات عميل VPN ومحاولات الاتصال
  • ما إذا كانت المشكلة تؤثر على مستخدم واحد أم عدة مستخدمين

النقاط الرئيسية لفنيي الدعم الفني

استكشاف أخطاء VPN مهارة ستبقى مطلوبة حتى مع تسارع اعتماد ZTNA. البروتوكولات تتطور والمنصات تتغير، لكن النهج التشخيصي الأساسي يبقى كما هو: تحقق من الاتصال، حدد نقطة الفشل، افحص السجلات وأكواد الأخطاء، واعمل بشكل منهجي من البسيط إلى المعقد.

إليك ما يجب تذكّره:

  • اعرف بروتوكولاتك: IKEv2 وL2TP وSSTP وWireGuard وOpenVPN كلها تفشل بطرق مختلفة. معرفة البروتوكول المستخدم يضيّق مسار استكشاف الأخطاء فوراً.
  • أكواد الأخطاء صديقتك: أكواد أخطاء VPN في Windows (691 و800 و809 و812 و853 و13868) تشير مباشرة لسبب الفشل. أنشئ ورقة مرجع سريعة واحتفظ بها في متناول يدك.
  • macOS يتغير باستمرار: كل إصدار macOS يمكن أن يكسر إعدادات VPN. تابع إشعارات إيقاف الدعم من Apple وحدّث مجموعات التشفير على جانب الخادم بشكل استباقي.
  • Always On VPN له أجزاء متحركة كثيرة: RRAS وNPS والشهادات وملفات Intune — عندما يتعطل AOVPN، الفشل قد يكون في أي من هذه المكونات. سجلات الأحداث ومحاسبة NPS هي أدواتك التشخيصية الأساسية.
  • مشاكل split tunneling هي مشاكل توجيه: عندما لا يستطيع مستخدمو split tunnel الوصول لشيء ما، افحص جدول التوجيه وإعدادات DNS أولاً.
  • المستقبل هو ZTNA: ابدأ ببناء مهاراتك في الوصول المبني على الهوية وامتثال الأجهزة وسياسات الوصول الشرطي الآن. الانتقال بدأ فعلاً ويسير بخطى متسارعة.

ابنِ كتيب التشغيل الخاص بك، درّب فريقك على هذه التشخيصات، وستغلق تذاكر VPN بشكل أسرع مع الاستعداد لأي تطور قادم في مجال الوصول عن بُعد للمؤسسات.

عن الكاتب Editorial Team

Our team of expert writers and editors.