在企业网络或远程办公场景中,使用虚拟专用网络（VPN）连接内网资源是常见需求，许多用户在尝试建立PPTP或L2TP/IPSec等类型的VPN连接时，常常遇到“错误691”——提示“用户名或密码无效”，这个看似简单的错误代码，实际上可能涉及多个层面的问题，包括账号配置、服务器策略、认证协议甚至防火墙设置，作为网络工程师，我将从故障排查到解决方案，提供一套系统化的处理流程。

理解错误691的本质,该错误码源自PPP（点对点协议）层，通常表示远程访问服务器无法验证客户端提供的身份信息，它并不意味着网络链路不通，而是身份认证失败，第一步必须排除用户输入错误——检查用户名和密码是否准确无误，注意大小写敏感性（尤其是域账户如DOMAIN\username），以及是否因特殊字符导致解析异常。

深入服务器端排查,如果确认本地输入无误，问题可能出在RADIUS服务器或NAS设备上，某些Windows Server 2012/2016的远程访问服务（RRAS）默认启用“要求加密（强度）”选项，若客户端不支持强加密协议，也会触发691，此时需登录服务器，打开“路由和远程访问”管理控制台，进入“属性”→“安全”选项卡，调整“允许的认证方法”，确保包含PAP、CHAP或MS-CHAP v2等兼容协议，检查用户账户是否被锁定、是否已过期，或未分配正确的拨入权限（在Active Directory用户属性中勾选“允许远程访问”）。

第三,网络路径问题不容忽视，部分组织部署了多层防火墙或NAT设备，可能导致UDP端口（如L2TP的1701）被拦截，进而影响握手过程，使用Wireshark抓包分析可验证是否收到服务器返回的“Access-Reject”消息，若发现数据包在传输途中丢失，应联系网络管理员开放必要端口，并检查是否有ACL规则限制了IP地址段的访问。

第四,客户端配置也是高频故障点，Windows系统自带的“连接到工作场所”功能有时会缓存旧凭证，造成持续认证失败，建议清除凭证存储：打开“凭据管理器”，删除相关VPN条目后重新连接，对于移动设备（如Android/iOS），则需确认证书信任链是否完整，尤其在使用IPSec时。

高级诊断技巧,通过命令行工具ping测试服务器可达性，再用telnet测试关键端口（如TCP 1723用于PPTP，UDP 1701用于L2TP），若能通但依旧报错，说明问题集中在认证逻辑而非连通性，此时可通过日志分析进一步定位：查看Windows事件查看器中的“远程桌面服务”或“网络策略服务器”日志，寻找详细的拒绝原因代码（如514代表密码过期）。

错误691虽常见,但解决路径清晰：先验本地输入，再查服务器策略，继而扫网络瓶颈，终以日志收尾，作为网络工程师，掌握这套分层排查法，不仅能快速修复问题，更能提升整体网络安全性和用户体验，每一次报错都是优化系统的契机。