Riešime problém pripojenia k VPN serveru L2TP / IPSec pre NAT

Jeden zo zákazníkov mal problém s prekonfiguráciou VPN servera Windows Server 2012 z PPTP na L2TP / IPSec, čo bolo spôsobené vypnutím podpory VPN PPTP v systéme iOS. V rámci siete VPN sa klienti bez problémov pripájajú k serveru VPN, ale externí klienti Windows sa pri pokuse o nadviazanie spojenia s VPN serverom L2TP dostanú k tejto chybe:

Sieťové pripojenie medzi vašim počítačom a serverom VPN nebolo možné nadviazať, pretože vzdialený server neodpovedá. Dôvodom môže byť to, že jedno zo sieťových zariadení (napr. Brány firewall, NAT, smerovače atď.) Medzi počítačom a vzdialeným serverom nie je nakonfigurované na povolenie pripojenia VPN. Obráťte sa na svojho správcu alebo poskytovateľa služieb a zistite, ktoré zariadenie môže spôsobiť problém.

V iných verziách systému Windows môže problém s pripojením indikovať chybu pripojenia. 800, 794 alebo 809.

Je potrebné poznamenať, že tento server VPN sa nachádza za NAT a smerovač je nakonfigurovaný na odovzdávanie portov potrebné pre L2TP (UDP 1701, UDP 500, UDP 4500 a Protocol 50 ESP). tj používa sa klasická konfigurácia.

Ako sa ukázalo, tento problém je už známy a je opísaný v článku https://support.microsoft.com/en-us/kb/926179. V prípade, že VPN server L2TP / IPsec je za NAT, na správne pripojenie externých klientov cez NAT je potrebné na strane servera a klienta vykonať zmenu v registri, ktorý umožňuje zapuzdrenie paketov UDP pre L2TP a podporu (NAT-T) pre IPsec..

  1. Otvorte Editor databázy Registry exe a choďte do vetvy:
    • Pre Windows XP - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ IPSec
    • Pre Windows 10.8.7, Vista - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent
  2. vytvoriť DWORD parameter pomenovaný AssumeUDPEncapsulationContextOnSendRulea hodnota 2

    poznámka. Možné hodnoty parametra AssumeUDPEncapsulationContextOnSendRule

    • 0 - (predvolená hodnota) sa predpokladá, že server je pripojený na internet bez NAT
    • 1 - server je za NAT
    • 2 - za NAT sú server aj klient
  3. Zostáva reštartovať počítač a uistiť sa, že VPN tunel je úspešne vytvorený.
Kategórie