Решаваме проблема с свързването към L2TP / IPSec VPN сървър за NAT

Един от клиентите имаше проблем с конфигурирането на VPN сървъра на Windows Server 2012 от PPTP към L2TP / IPSec, който беше причинен от деактивирането на PPTP VPN поддръжката в iOS. В рамките на VPN мрежата клиентите се свързват към VPN сървъра без никакви проблеми, но външните клиенти на Windows, когато се опитват да установят връзка с L2TP VPN сървъра, получават следната грешка:

Мрежовата връзка между вашия компютър и VPN сървър не може да бъде установена, тъй като отдалеченият сървър не реагира. Това може да е така, защото едно от мрежовите устройства (напр. Защитни стени, NAT, рутери и т.н.) между вашия компютър и отдалечения сървър не е конфигурирано да позволява VPN връзки. Моля, свържете се с вашия администратор или вашия доставчик на услуги, за да определите кое устройство може да причини проблема.

В други версии на Windows проблемът с връзката може да показва грешка в връзката. 800, 794 или 809.

Заслужава да се отбележи, че този VPN сървър е разположен зад NAT, а маршрутизаторът е конфигуриран с пренасочване на портове, необходими за L2TP (UDP 1701, UDP 500, UDP 4500 и протокол 50 ESP). Т.е. използвана класическа конфигурация.

Както се оказа, този проблем вече е известен и описан в статията https://support.microsoft.com/en-us/kb/926179. В случай че L2TP / IPsec VPN сървърът е зад NAT, за правилната връзка на външни клиенти чрез NAT, е необходимо от страна на сървъра и клиента да се извърши промяна в регистъра, която да позволи UDP капсулиране на пакети за L2TP и поддръжка (NAT-T) за IPsec.

  1. Отворете редактора на системния регистър Търсейки и отидете до клона:
    • За Windows XP - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ IPSec
    • За Windows 10.8.7, Vista - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent
  2. създавам DWORD параметър с име AssumeUDPEncapsulationContextOnSendRuleи стойност 2

    забележка. Възможни стойности за параметъра AssumeUDPEncapsulationContextOnSendRule

    • 0 - (стойност по подразбиране), се приема, че сървърът е свързан към Интернет без NAT
    • 1 - сървърът стои зад NAT
    • 2 - и сървърът, и клиентът стоят зад NAT
  3. Остава да рестартирате компютъра и да се уверите, че VPN тунелът е успешно създаден.
Категория