Отключить ipsec в Windows 10

Обновлено: 21.11.2024

Межсетевой экран нового поколения FortiGate использует специально разработанные процессоры безопасности и сервисы защиты от угроз, разработанные лабораториями FortiGuard, чтобы обеспечить первоклассную защиту и высокую производительность, включая зашифрованный трафик.

  • Сообщество Fortinet
  • База знаний
  • Фортигейт
  • Отключение Microsoft L2TP для IPSec в Windows.

Создано 27 июня 2005 г., 00:00

Отключение Microsoft L2TP для IPSec в реестре Windows

Устройства FortiGate поддерживают L2TP только с шифрованием Microsoft Point-to-Point Encryption (MPPE). Более поздние реализации Microsoft L2TP для Windows используют IPSec и требуют сертификатов для проверки подлинности и шифрования. Если вы хотите использовать Microsoft L2TP с IPSec для подключения к устройству FortiGate, элементы IPSec и сертификата должны быть отключены на удаленном клиенте.

Шаги или команды

Вы можете отключить элементы IPSec и сертификата, отредактировав реестр Windows 2000, как описано в следующих шагах. Дополнительную информацию о редактировании реестра Windows см. в документации Microsoft.

Предупреждение Будьте осторожны при редактировании реестра. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем продолжить, сделайте резервную копию файла реестра.

<ПР>

  • В меню "Пуск" Windows выберите "Выполнить".
  • В поле "Открыть" введите regedit.
  • Нажмите "ОК".
  • В редакторе реестра откройте следующую папку:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
  • На правой панели найдите значение реестра ProhibitIPSec и убедитесь, что столбец данных для записи содержит значение 0x00000001 (1).

    Обратите внимание: если параметр реестра ProhibitIPSec не существует, необходимо добавить запись. Подробнее о том, как это сделать, см. в статье службы поддержки Майкрософт Как настроить подключение L2TP/IPSec с помощью проверки подлинности по предварительному ключу.

    <УЛ>
  • Щелкните правой кнопкой мыши значение реестра ProhibitIPSec и выберите Изменить.
  • В поле "Значение" введите 1.
  • Выберите "ОК".
  • Если эта статья была написана для неподдерживаемой версии, можно ли изменить/обновить ее для поддерживаемой: N/A

    Предлагаете ли вы, чтобы эта статья была прекращена/перемещена во внутреннюю базу знаний? НЕТ, все еще есть клиенты на сервере WIN2K

    Отключает разгрузку IPsec на сетевом адаптере, чтобы сетевой адаптер не выполнял операции шифрования для каждого пакета.

    Синтаксис

    Описание

    Командлет Disable-NetAdapterIPsecOffload отключает разгрузку IPsec на сетевом адаптере, чтобы сетевой адаптер не выполнял операции шифрования пакетов. Разгрузка IPsec может увеличить пропускную способность сети и снизить загрузку процессора компьютера.

    Примеры

    Пример 1. Отключение разгрузки IPsec на указанном сетевом адаптере

    Эта команда отключает разгрузку IPsec на сетевом адаптере с именем MyAdapter и перезапускает сетевой адаптер.

    Параметры

    Запускает командлет как фоновое задание. Используйте этот параметр для запуска команд, выполнение которых занимает много времени. Командлет немедленно возвращает объект, представляющий задание, а затем отображает командную строку. Вы можете продолжать работать в сеансе, пока задание завершается. Для управления заданием используйте командлеты *-Job. Чтобы получить результаты задания, используйте командлет Receive-Job. Дополнительные сведения о фоновых заданиях Windows PowerShell® см. в разделе about_Jobs.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Запускает командлет в удаленном сеансе или на удаленном компьютере. Введите имя компьютера или объект сеанса, например выходные данные командлета New-CimSession или Get-CimSession. По умолчанию используется текущий сеанс на локальном компьютере.

    Тип: CimSession [ ]
    Псевдонимы:Сессия
    Позиция:Имя
    Значение по умолчанию:Нет
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False< /td>

    Запрашивает подтверждение перед запуском командлета.

    < /tr>

    Указывает, что командлет включает в операцию как видимые, так и скрытые сетевые адаптеры. По умолчанию включены только видимые сетевые адаптеры.Если для идентификации сетевого адаптера используется подстановочный знак и указан этот параметр, строка подстановочного знака сопоставляется как со скрытыми, так и с видимыми сетевыми адаптерами.

    Тип: SwitchParameter
    Псевдонимы:cf
    Позиция:Имя
    Значение по умолчанию:False
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False
    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Указывает ввод для этого командлета. Вы можете использовать этот параметр или направить ввод в этот командлет.

    Тип: CimInstance [ ]
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:True< /td>
    Допускать подстановочные знаки:False

    Задает массив описаний интерфейса сетевого адаптера. Для физического сетевого адаптера это обычно название поставщика сетевого адаптера, за которым следует номер детали и описание, например Contoso 12345 Gigabit Network Device .

    Тип: String [ ]
    Псевдонимы:ifDesc, InstanceID
    Позиция:Имя
    Значение по умолчанию:Нет< /td>
    Принимать ввод конвейера:True
    Допускать подстановочные знаки: Ложь

    Указывает массив имен сетевых адаптеров.

    Тип: String [ ]
    Псевдонимы:ifAlias, InterfaceAlias
    Позиция:0
    Значение по умолчанию:Нет< /td>
    Принимать ввод конвейера:True
    Допускать подстановочные знаки: Ложь

    Указывает, что командлет не перезапускает сетевой адаптер после завершения операции. Многие дополнительные свойства требуют перезапуска сетевого адаптера, прежде чем новые настройки вступят в силу.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Возвращает объект, представляющий элемент, с которым вы работаете. По умолчанию этот командлет не создает никаких выходных данных.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Указывает максимальное количество одновременных операций, которое может быть установлено для запуска командлета. Если этот параметр опущен или введено значение 0, Windows PowerShell® вычисляет оптимальный предел ограничения для командлета на основе количества командлетов CIM, запущенных на компьютере. Предел регулирования применяется только к текущему командлету, а не к сеансу или компьютеру.

    Безопасность Интернет-протокола (IPsec) поддерживает одноранговую аутентификацию на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. Эта служба обеспечивает применение политик IPsec, созданных с помощью оснастки «Политики IP-безопасности» или инструмента командной строки «netsh ipsec». Если вы остановите эту службу, у вас могут возникнуть проблемы с сетевым подключением, если ваша политика требует, чтобы подключения использовали IPsec. Кроме того, удаленное управление брандмауэром Windows недоступно, когда эта служба остановлена.

    Дополнительная информация

    В настоящее время нет.

    Тип запуска по умолчанию

    ОС SP0
    Windows 8 x86 Вручную (запуск по триггеру)
    Windows 8 x64 Вручную (запуск по триггеру)
    Windows 8 Pro x86 Вручную (Запуск по триггеру)
    Windows 8 Pro x64 Вручную (Запуск по триггеру)
    Windows 8 Enterprise x86 Вручную (запуск по триггеру)
    Windows 8 Enterprise x64 Вручную (Запуск триггера)

    Имена служб

    Имя службы (реестр): PolicyAgent
    Отображаемое имя: Агент политики IPsec

    Параметры пути и командной строки по умолчанию

    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

    Войти как

    Учетная запись: сетевая служба

    Зависимости

    Примечание. В сборке WDP, которую я использовал для составления этой информации, не указаны зависимости ни для одной службы.

    Windows 7

    Описание по умолчанию

    Безопасность Интернет-протокола (IPsec) поддерживает одноранговую аутентификацию на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения.Эта служба обеспечивает применение политик IPsec, созданных с помощью оснастки «Политики IP-безопасности» или инструмента командной строки «netsh ipsec». Если вы остановите эту службу, у вас могут возникнуть проблемы с сетевым подключением, если ваша политика требует, чтобы подключения использовали IPsec. Кроме того, удаленное управление брандмауэром Windows недоступно, когда эта служба остановлена.

    Дополнительная информация

    Большинство домашних сетей не используют IPsec, так как он используется, помимо прочего, для удаленных VPN-подключений.

    Если вы используете внешний аппаратный брандмауэр/шлюз/маршрутизатор между вашим компьютером и Интернетом, не используйте IPsec (VPN-туннелирование и т. д.) и общий доступ к подключению к Интернету (ICS), тогда эта служба и следующая группа служб могут быть отключены. отключено:

    Я настоятельно рекомендую вам не отключать брандмауэр Windows, если вы не используете другой программный брандмауэр или внешнее аппаратное решение, но все перечисленные выше службы связаны друг с другом.

    Тип запуска по умолчанию

    ОС SP0 SP1
    Windows 7 Starter Вручную Вручную
    Windows 7 Home Basic Вручную Вручную
    Windows 7 Home Premium Вручную Вручную
    Windows 7 Professional Вручную Вручную
    Windows 7 Ultimate Вручную Вручную
    Windows 7 Enterprise Вручную Вручную

    Имена служб

    Имя службы (реестр): PolicyAgent
    Отображаемое имя: Агент политики IPsec

    Параметры пути и командной строки по умолчанию

    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

    Войти как

    Учетная запись: сетевая служба

    Зависимости

    Какая служба агента политики IPsec необходима для правильной работы:

    • Основной механизм фильтрации (S, HB, HP, P, U, E)
      • Удаленный вызов процедур (RPC)(S, HB, HP, P, U, E)
        • Средство запуска серверных процессов DCOM (S, HB, HP, P, U, E)
        • Сопоставитель конечных точек RPC (S, HB, HP, P, U, E)

        Какая другая служба требует правильной работы агента политики IPsec:

        Windows Vista

        Описание по умолчанию

        Безопасность Интернет-протокола (IPsec) поддерживает одноранговую аутентификацию на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. Эта служба обеспечивает применение политик IPsec, созданных с помощью оснастки «Политики IP-безопасности» или инструмента командной строки «netsh ipsec». Если вы остановите эту службу, у вас могут возникнуть проблемы с сетевым подключением, если ваша политика требует, чтобы подключения использовали IPsec. Кроме того, удаленное управление брандмауэром Windows недоступно, когда эта служба остановлена.

        Дополнительная информация

        Большинство домашних сетей не используют IPsec, так как он используется, помимо прочего, для удаленных VPN-подключений.

        Если вы используете внешний аппаратный брандмауэр/шлюз/маршрутизатор между вашим компьютером и Интернетом, не используйте IPsec (VPN-туннелирование и т. д.) и общий доступ к подключению к Интернету (ICS), тогда эта служба и следующая группа служб могут быть отключены. отключено:

        Я настоятельно рекомендую вам не отключать брандмауэр Windows, если вы не используете другой программный брандмауэр или внешнее аппаратное решение, но все перечисленные выше службы связаны друг с другом.

        Тип запуска по умолчанию

        < tr>

        Имена служб

        Имя службы (реестр): PolicyAgent
        Отображаемое имя: Агент политики IPsec

        Я настроил сервер L2TP/ipsec с предварительным общим ключом, который отлично работает на моем телефоне. Я пробовал несколько способов, включая отключение брандмауэра для подключения в Windows 10, но это всегда терпит неудачу. Вот ошибка, которую он выдает:

        Как я могу заставить это работать? • Мой телефон и ноутбук с Windows 10 находятся в одной сети.

        Вы убедились, что можете пропинговать VPN-сервер? Вы доверяете любым самозаверяющим сертификатам, которые можете использовать. Ошибка, которую вы получаете, является общей ошибкой связи.

        Да, я могу нормально пропинговать сервер. Во-вторых, не было сертификатов, которым можно было бы доверять.Я подключаюсь напрямую с iOS, и там все работает, так что это просто проблема клиента.

        3 ответа 3

        Для всех, у кого возникли проблемы, я, наконец, смог решить проблему после внесения изменений в реестр и перезагрузки. Благодаря руководству, опубликованному здесь, на Github.

        Запустите из командной строки с повышенными привилегиями следующее:

        Также убедитесь, что выполнены следующие условия:

        Вы можете отключить IPSec и всегда подключаться только к l2tp.
        Запустите редактор реестра (regedit.exe) и перейдите к

        В меню «Правка» выберите «Создать», «Значение DWORD».
        Введите имя "ProhibitIpSec" и нажмите Enter .
        Дважды щелкните новое значение, установите для него значение 1 и нажмите OK.
        Перезагрузите машину.
        Чтобы снова включить IPSec, установите значение 0.

        У меня была такая же проблема на 3 ПК с Windows 10. Приведенное выше исправление реестра изначально не работало. Единственное, что объединяет эти 3 ПК, это то, что все они на каком-то этапе были обновлены с Windows 7. Служба поддержки Microsoft предложила выполнить переустановку Windows 10 на месте с DVD или USB-накопителя с помощью их инструмента для создания носителей. Это сохранило все мои приложения и данные точно так же, как обновление с W7. После обновления на месте у меня была та же ошибка, затем я применил исправление реестра, и подключение было успешным. Я также пытался установить Windows 10 на переформатированный жесткий диск. Это также работало после исправления реестра. Исправление реестра необходимо, если клиент и/или сервер VPN находятся за устройством NAT, например широкополосным маршрутизатором. После того, как соединение было установлено, потребовались дополнительные шаги, чтобы разрешить доступ в Интернет для VPN-клиента через VPN-соединение. В моем случае мне пришлось добавить диапазон исходных IP-адресов клиента 10.2.0.0/8 в брандмауэр моего NAS, поскольку VPN-сервер — это мой NAS.

        Читайте также:

        ОС SP0 SP1 SP2
        Vista Home Basic Автоматически (Запущено) Автоматически (Запущено) Автоматически (Запущено)
        Vista Home Premium Автоматически (Запущено) Автоматически (Запущено) Автоматически (Запущено)
        Vista Business Автоматически (Запущено) Автоматически (Запущено) Автоматически (Запущено)
        Vista Ultimate Автоматически (запущено) Автоматически (запущено) Автоматически (запущено)
        Vista Enterprise Автоматически (Запущено) Автоматически (Запущено) Автоматически (Запущено)