Rešimo težavo povezave na L2TP / IPSec VPN strežnik za NAT

Ena od strank je imela težavo pri konfiguriranju strežnika VPN za Windows Server 2012 iz PPTP v L2TP / IPSec, kar je povzročilo onemogočanje podpore PPTP VPN v iOS-u. Odjemalci se znotraj omrežja VPN brez težav povežejo s strežnikom VPN, zunanji odjemalci Windows pa, ko poskušajo vzpostaviti povezavo s strežnikom VPN L2TP, prejmejo to napako:

Omrežne povezave med računalnikom in strežnikom VPN ni bilo mogoče vzpostaviti, ker se oddaljeni strežnik ne odziva. To je lahko zato, ker ena od omrežnih naprav (npr. Požarni zidovi, NAT, usmerjevalniki itd.) Med vašim računalnikom in oddaljenim strežnikom ni konfigurirana, da bi omogočala povezave VPN. Če želite ugotoviti, katera naprava lahko povzroča težavo, se obrnite na skrbnika ali ponudnika storitev.

V drugih različicah sistema Windows lahko težava s povezavo kaže na napako v povezavi. 800, 794 ali 809.

Omeniti velja, da je ta strežnik VPN nameščen za NAT in usmerjevalnik konfiguriran s posredovanjem vrat, potrebnih za L2TP (UDP 1701, UDP 500, UDP 4500 in protokol 50 ESP). I.e. uporabljena klasična konfiguracija.

Kot se je izkazalo, je ta težava že znana in opisana v članku https://support.microsoft.com/en-us/kb/926179. V primeru, da strežnik VPN L2TP / IPsec stoji za NAT, je za pravilno povezavo zunanjih odjemalcev prek NAT potrebno na strani strežnika in odjemalca spremeniti register, ki bo omogočil UDP kapsulacijo paketov za L2TP in podporo (NAT-T) za IPsec.

  1. Odprite urejevalnik registra exe in pojdi na podružnico:
    • Za Windows XP - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ IPSec
    • Za Windows 10.8.7, Vista - HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent
  2. Ustvari DWORD parameter imenovan PredpostavimoUDPEncapsulationContextOnSendRulein vrednost 2

    Opomba. Možne vrednosti za parameter AssumeUDPEncapsulationContextOnSendRule

    • 0 - (privzeta vrednost), se domneva, da je strežnik povezan z internetom brez NAT
    • 1 - strežnik stoji za NAT
    • 2 - tako NAT kot strežnik stata za NAT
  3. Ostaja še enkrat zagnati računalnik in se prepričati, ali je bil uspešno ustvarjen tunel VPN.
Kategorija