在企业网络或远程办公环境中,使用虚拟专用网络（VPN）连接至内网是常见需求，许多用户在尝试拨号连接时，常常会遇到“错误691”——系统提示“无法访问服务器”或“用户名/密码无效”，作为网络工程师，我经常被呼叫协助处理此类问题，本文将从技术角度深入剖析错误691的根本原因，并提供一套结构化、可落地的排查流程，帮助用户快速定位并解决问题。

明确错误691的定义：这是PPTP（点对点隧道协议）或L2TP/IPSec等传统PPP协议中常见的认证失败错误代码，表示远程访问服务器无法验证客户端身份，它不一定是用户输入错误，更多时候涉及配置、权限或网络层的问题。

常见原因可分为三类：

1. 账号或密码错误
   最直观的原因是用户名或密码不正确，但请注意，这类错误常因大小写敏感、特殊字符识别异常或缓存旧凭证导致，建议用户清除本地保存的凭据（Windows中可通过“凭据管理器”删除相关条目），重新输入并确认无空格或多余字符。

2. 账号权限或状态异常
   即使用户名和密码正确，若账户被禁用、过期或未分配合适的IP地址池权限，也会触发691错误，此时需联系IT管理员检查RADIUS服务器（如Microsoft NPS）上的用户属性，确保账号处于“启用”状态且具有远程访问许可（Remote Access Permission）。

3. 网络或防火墙阻断
   这是最容易被忽略的一环。

   • 本地防火墙或杀毒软件误拦截PPTP端口（TCP 1723 + GRE协议）；
   • ISP限制了GRE流量（部分运营商对非标准协议有策略控制）；
   • 路由器未正确转发PPTP请求到内网服务器（如NAT规则缺失）。

排查步骤如下：

第一步：基础测试

• 使用命令行执行 ping <VPN服务器IP> 确认连通性；
• 若ping不通,检查本地网关和DNS设置是否正常。

第二步：验证认证信息

• 在另一台设备上尝试相同账号登录,排除本机配置问题；
• 如仍失败,要求管理员核查RADIUS日志，查看是否有“Authentication failed”记录。

第三步：检查网络层

• 使用Wireshark抓包分析,观察是否发送了完整的PPP协商报文（如LCP、CHAP挑战）；
• 确认公网IP是否能通过端口扫描工具检测到1723端口开放（可用nmap命令）；
• 若使用路由器,检查其是否启用了PPTP Passthrough功能（尤其在家庭宽带场景下常见）。

第四步：高级调试

• 查看Windows事件查看器中的“远程桌面服务”日志，定位具体失败点；
• 对于企业级部署,可通过NAS（网络访问服务器）的日志进一步诊断，例如Cisco ACS或华为iMaster NCE。

最后提醒：随着安全意识提升，越来越多组织已弃用PPTP（因其加密弱），转向更安全的OpenVPN或WireGuard协议，若长期频繁出现691错误，建议评估升级方案，避免依赖存在漏洞的传统协议。

错误691虽常见,但通过分层排查法（从应用层→网络层→设备层）可高效定位根源，作为网络工程师，我们不仅要修复问题，更要引导用户建立健壮的远程接入机制，这才是真正的专业价值所在。