Vpn-сервер на Windows Server 2008 R2 Настройка l2tp

Обновлено: 21.11.2024

VPN или виртуальная частная сеть используются для безопасного туннелирования данных с локального компьютера на удаленный сервер. Вы можете визуализировать VPN как частную сеть, распределенную по Интернету или общедоступной сети. Используя VPN, разные устройства могут безопасно общаться друг с другом, как если бы они были подключены через частную сеть.

Доступны различные протоколы туннелирования VPN. В этом руководстве мы настроим новый VPS под управлением Windows Server 2019 в качестве L2TP через IPSec VPN. L2TP или протокол туннелирования уровня 2 — это протокол туннелирования, но он не обеспечивает стойкого шифрования. Здесь на помощь приходит IPSec, который обеспечивает очень надежное шифрование данных, которыми обмениваются удаленный сервер и клиентская машина.

Мы будем использовать службы удаленного и удаленного доступа (RRAS), которые предоставляют простой в использовании интерфейс для настройки сетевых функций, таких как VPN, NAT, сервер удаленного доступа, маршрутизация по локальной сети и т. д.

Предпосылки

    или выделенный сервер с установленной Windows Server 2019.
  • Вы должны войти в систему через протокол удаленного рабочего стола в качестве пользователя с правами администратора.

Шаг 1. Обновите систему

Найдите Windows Powershell и откройте его в административном режиме, щелкнув правой кнопкой мыши и выбрав Открыть от имени администратора.

Установите модуль обновления Windows для Powershell, выполнив команду.

Может появиться запрос на подтверждение, постоянно нажимайте Y и вводите.
Теперь запустите список последних обновлений.

После установки обновлений перезагрузите компьютер, выполнив команду.

Шаг 2. Установите роль удаленного доступа

Снова откройте Powershell в административном режиме и выполните следующую команду, чтобы установить функцию удаленного доступа с прямым доступом и VPN (RAS) и маршрутизацией вместе со средствами управления.

Шаг 3. Настройте маршрутизацию и удаленный доступ

Откройте Диспетчер серверов и перейдите в Инструменты >> Управление удаленным доступом.

На левой панели щелкните правой кнопкой мыши локальный сервер и выберите Настроить и включить маршрутизацию и удаленный доступ.

В Мастере настройки и включения маршрутизации и удаленного доступа выберите переключатель «Пользовательская конфигурация», поскольку мы будем вручную настраивать маршрутизацию и доступ. Нажмите кнопку Далее.

Затем установите флажки для VPN-сервера и NAT и нажмите «Далее», чтобы просмотреть сводную информацию о выбранных параметрах.

Наконец, нажав кнопку Готово, вы увидите запрос на запуск служб маршрутизации и удаленного доступа. Нажмите кнопку Запустить службу.

Шаг 4. Настройте свойства VPN

Теперь, когда наша VPN запущена, давайте настроим ее. В окне "Маршрутизация и удаленный доступ" на левой панели щелкните правой кнопкой мыши локальный сервер и выберите "Свойства".

Перейдите на вкладку «Безопасность», нажмите «Разрешить пользовательскую политику IPSec для подключения L2TP/IKEv2» и укажите очень длинный PSK (предварительно общий ключ). Вы можете использовать любой инструмент для создания случайного ключа.

Обязательно запишите PSK, так как нам нужно будет делиться PSK с каждым пользователем, который хочет подключиться к VPN-серверу.

Теперь перейдите на вкладку IPv4 и в разделе Назначение адреса IPv4 выберите статический пул адресов. Нажмите кнопку «Добавить», и вы получите всплывающее окно для ввода диапазонов IP-адресов. Укажите начальный и конечный адреса диапазона IP-адресов, которые вы хотите назначить пользователям.

Нажмите кнопку ОК, чтобы сохранить диапазон адресов, и, наконец, нажмите кнопку ОК, чтобы сохранить изменения. Вы можете получить предупреждение о том, что вам нужно перезапустить службу маршрутизации и удаленного доступа, чтобы изменения вступили в силу. Вы можете смело нажимать ОК и пока игнорировать его, так как мы перезапустим службу после выполнения следующего шага.

Шаг 5. Настройте NAT

На той же левой панели окна "Маршрутизация и удаленный доступ" разверните локальный сервер, а затем разверните IPv4. Там вы увидите объект NAT. Щелкните правой кнопкой мыши NAT и выберите параметр Новый интерфейс.

Выберите Ethernet и нажмите OK, чтобы продолжить. На вкладке NAT выберите переключатель Общий интерфейс, подключенный к Интернету, а также установите флажок Включить NAT на этом интерфейсе.

Теперь перейдите на вкладку Службы и порты и установите флажок VPN-сервер (L2TP/IPSec — работает на этом сервере). Откроется новый интерфейс для редактирования сервиса.

Измените частный адрес с 0.0.0.0 на 127.0.0.1 и нажмите OK для сохранения.

Наконец, нажмите OK, чтобы сохранить интерфейс NAT.

Шаг 6. Перезапустите маршрутизацию и удаленный доступ

На левой панели окна "Маршрутизация и удаленный доступ" щелкните правой кнопкой мыши локальный сервер и выберите Перезапустить в разделе Все задачи.

Это перезапустит службы маршрутизации и удаленного доступа, и все внесенные нами изменения будут применены.

Шаг 7. Настройте брандмауэр Windows

В меню "Пуск" найдите брандмауэр защитника Windows и откройте его. Нажмите Дополнительные настройки в брандмауэре Защитника Windows.


В разделе Дополнительные настройки нажмите Правила для входящих подключений на левой панели, а затем нажмите Новое правило на правой панели. .

В Windows Server 2019 есть предопределенные правила, которые необходимо включить для работы VPN. В мастере создания правила для нового входящего трафика нажмите кнопку-переключатель Предопределенные и выберите в раскрывающемся списке пункт Маршрутизация и удаленный доступ.

В разделе "Предопределенные правила" установите флажок Маршрутизация и удаленный доступ (L2TP-In) и нажмите Далее.

В разделе Действие выберите параметр Разрешить подключение и нажмите Готово.

Теперь брандмауэр настроен на разрешение входящего трафика через UDP-порт 1701.

Шаг 8. Создайте пользователя VPN

Найдите Управление компьютером в меню "Пуск" и в окне Управление компьютером разверните Локальные пользователи и группы.

Щелкните правой кнопкой мыши Пользователи и выберите Новый пользователь в разделе Локальные пользователи и группа, чтобы создать нового пользователя.

По запросу Новый пользователь укажите имя пользователя, полное имя и надежный пароль. Снимите флажок Пользователь должен изменить пароль при следующем входе. Нажмите «Создать», чтобы создать нового пользователя.

После создания пользователя вернитесь в интерфейс Управление компьютером, и вы найдете только что созданного пользователя в списке пользователей. Щелкните правой кнопкой мыши пользователя и выберите параметр Свойства.

В свойствах пользователей VPN перейдите на вкладку Коммутируемый доступ. Теперь выберите параметр Разрешить доступ для параметра Разрешения доступа к сети. Нажмите OK, чтобы сохранить свойства.

Наш VPN-сервер L2TP/IPSec теперь готов и может принимать подключения.

Шаг 9. Подключение VPN-клиентов.

Вам нужно будет сообщить PSK и имя пользователя и пароль Windows пользователю, который хочет подключиться к удаленному VPN-серверу. Вы также можете следовать инструкциям на веб-сайте Snel, чтобы узнать, как подключиться к удаленному серверу.

Шаг 10. Мониторинг VPN

Найдите Консоль управления удаленным доступом в меню "Пуск" и откройте консоль. Вы должны увидеть статус VPN. Если вы правильно следовали инструкциям, вы увидите все зеленые галочки на всех сервисах. Вы также можете просмотреть сведения о подключенных клиентах на этой консоли.

Заключение

В этом руководстве мы успешно настроили свежий сервер Windows Server 2019 в качестве VPN-серверов L2TP/IPSec. Теперь вы можете использовать VPN-сервер для безопасного подключения к другим подключенным устройствам. Вы также можете использовать этот VPN-сервер в качестве прокси-сервера для безопасного доступа в Интернет.

Комментарии

Я попытался выполнить это, но возникла одна проблема: NAT не отображается в столбце IPv4, как показано на шаге 5.Я пробовал это несколько раз, а также пытался просто установить NAT самостоятельно, но его все еще нет. Сервер, с которым я работаю, просто настроен как сервер рабочей группы и не является контроллером домена. Это причина?

РОБЕРТО ПАРЕДЕС ВИЛЛАЛОН говорит

У меня была та же проблема, убедитесь, что вы добавили роль RAS из powershell, мне это помогло.

Да, видел. Дважды (пробовал 2 раза). Я также пытался запустить мастер и просто установить NAT. Я предполагаю, что именно это удерживает меня от использования L2TP, что является обязательным, учитывая, сколько сервисов блокируют PPP в наши дни. Я посмотрю, есть ли что добавить по другой ссылке, и дам вам знать. Спасибо.

Привет, я пытаюсь настроить VPN на своем сервере 2019 для удаленного доступа с моего Android через l2tp IPsec. Я следовал этому руководству, но не могу подключиться к VPN с устройства Android. Вы можете помочь?
Спасибо

Обновление: когда Android подключен к домашней беспроводной сети, я могу подключиться к VPN. А вот с 4г не получается. У меня есть маршрутизатор, который перенаправляет порты 1701, 500 и 4500 в UDP (например, внешний порт 1701 на внутренний 1701 и т. д.).
Спасибо

Хорошо, соединение установлено, но у меня есть две проблемы:
1) Теперь мне нужно подключиться к VPN, даже если я нахожусь в той же сети, что и сервер (сервер подключен к маршрутизатору через Ethernet, а телефон подключен к маршрутизатору). через вайфай).
2) При подключении к VPN скорость скачивания составляет треть скорости не подключенного. Но когда я работаю в их сети, я могу подключиться к vpn и подключиться через smb к серверу. Это удивительно медленно для доступа к любым файлам… Загрузка 2,8 Мб jpeg заняла 36 секунд.

Любая помощь по этим вопросам, пожалуйста?

если есть аппаратный брандмауэр, какая там конфигурация нужна?

В нашей установке мы не использовали аппаратный брандмауэр. Поэтому мы не можем вам в этом помочь.

Спасибо за это, но я все еще сталкиваюсь с проблемой подключения, и порт 1701 говорит, что закрыт, когда я открываю их как на брандмауэре, так и на маршрутизаторе, но по какой-то причине он не связывается с моим внешним сервером, и мой провайдер говорит, что они не блокируют эти порты

Вы пытались отключить брандмауэр Windows? Что произойдет, если вы сделаете это, сможете ли вы установить соединение?

У меня была та же проблема, но я использовал графический интерфейс для установки необходимых функций и забыл установить роль сервера\удаленный доступ\маршрутизацию. После того, как я установил его, отключил исходную конфигурацию и повторил шаги мастера настройки, появился NAT.

Марио Чен говорит

Есть ли инструкции по настройке в Windows Server 2019 Core?

Эти инструкции предназначены для Windows Server 2019 Standard с графическим интерфейсом

Будет ли это работать с Windows Server, на котором настроены службы удаленного рабочего стола?
У нас есть сервер, настроенный для использования в качестве RDS, и одна виртуальная машина на нем для работы в качестве сервера Active Directory (как этого требует Windows Server 2019), и мы хотели бы настроить l2tp/ipsec для некоторая дополнительная безопасность в отношении доступа к серверу…

Здравствуйте, как настроить NAT для IPv6?

Наша статья касается только IPv4

Спасибо за ваши полезные статьи.

Эта установка отлично работает в Windows Server 2016.
В версии 2016 (Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом)
существует интерфейс RAS (Dial In).

Но я все делал именно в Windows Server 2019 и ВООБЩЕ НЕ РАБОТАЕТ!
И интерфейса RAS (Dial-In) НЕ существует в Центре управления сетями и общим доступом!

Есть ли решение?

Еще раз спасибо, ребята.

Вы читали нашу статью о Windows Server 2016 вместо статьи о Windows Server 2019?

Эшраги Али говорит

Большое спасибо!

Здравствуйте. Я сделал все это успешно, но я не могу подключиться к серверу по L2TP, но я могу подключиться сразу по PPTP без каких-либо проблем. С программным обеспечением Tcpview на сервере я заметил, что порты 1701, 500, 4500 не находятся в режиме прослушивания. Почему эти порты не находятся в режиме прослушивания после установки и настройки?

Получение этой ошибки при попытке подключения в Windows 10
"Попытка подключения L2TP не удалась, поскольку уровень безопасности обнаружил ошибку обработки во время первоначальных согласований с удаленным компьютером"

Я получаю ту же ошибку.

Вы включили "Включение MS-CHAP v2"?

Отличное руководство, спасибо.

Я хочу добавить безопасное удаленное соединение (L2TP VPN), а затем получить доступ к общему ресурсу на сервере. Сервер имеет только общедоступный IP-адрес (не частный адрес в диапазоне, указанном в шаге 4 вашего руководства). Есть ли способ добиться этого? Может быть, я могу добавить виртуальную сетевую карту с локальным IP-адресом?

Я пытаюсь настроить экземпляр Amazon Lightsail Windows Server 2019, следуя инструкциям в этой статье, но при использовании VPN-клиента Win10 для подключения я получаю сообщение «Попытка подключения L2TP не удалась, уровень безопасности обнаружил ошибку обработки… ". Я подтвердил, что выбрал параметр безопасности для использования предварительного общего ключа, а не сертификата.Я скопировал/вставил электронный ключ и убедился, что он правильный.

Я попробовал очевидное устранение неполадок на стороне клиента и убедился, что расширения MS Chap v2 и PPP LCP включены.

Единственная разница в конфигурации на сервере и в ваших инструкциях заключается в IPv4 — я использую DHCP вместо статического диапазона, так как я не уверен, какой статический диапазон использовать (внутренний IP-адрес сервера — 172.26.12. x с маской подсети 255.255.240.0, но шлюзом является 172.26.0.1. Судя по сообщению об ошибке, я предполагаю, что он подключается к VPN-серверу, но отклоняет соединение.

Проверил журнал событий на сервере, показывает следующую ошибку: идентификатор события 18 RasStp «Службе SSTP не удалось прочитать хэш сертификата SHA256…». Это событие происходит только после запуска службы маршрутизации и удаленного доступа, а не при попытке подключения клиентов. Не думаю, что это применимо, так как я использую общий ключ (?)

Я также пытался отключить брандмауэр WIndows, несмотря на то, что следовал инструкциям по включению L2TP в «предопределенных» параметрах, но это не имело значения.

привет
Я создаю VPN, и она работает хорошо, большое спасибо, но я хочу ограничить учетную запись пользователя, только два устройства подключаются к этому VPN одновременно.

Терри Рейнольдс говорит

Здравствуйте!
Кажется, я зависаю, когда пытаюсь запустить службу после этапа настройки и включения удаленного доступа.

Когда я запускаю службу, происходит сбой с кодом 7024 и сообщением "Служба маршрутизации и удаленного доступа завершена из-за следующей характерной для службы ошибки:
Указанный сеанс входа в систему не существует. Возможно, он уже был прекращено."

Мы не сталкивались с этой проблемой при чистой установке.

Здравствуйте,
Спасибо за отличное руководство!

Я пытаюсь выполнить установку с помощью VPS, установленного с Windows Server 2019 (Datacenter Edition) и имеющего только один статический IP-адрес

Внимательно выполните все остальные шаги в соответствии с руководством и завершите установку

Когда я пытался подключиться через локальный компьютер с использованием VPN-подключений, выдается ошибка: «Указанный идентификатор протокола не известен маршрутизатору».
Пожалуйста, сообщите
Спасибо!

Скотт Уильямс говорит

Спасибо за эту процедуру. Я не смог найти ничего подобного и рассматриваю возможность настройки нескольких туннелей IPSec VPN между удаленными сайтами и VPS (Windows 2019 VM). Существует ли ограничение на количество VPN-туннелей, показанных в описанной здесь конфигурации?

Здравствуйте, я без проблем установил VPN на свой Windows Server 2019.

Все работает нормально, по крайней мере мне так говорят.

Когда я подключаюсь со своего iPhone, он подключается без проблем, но после этого я ничего не могу получить. Он просто остается подключенным к vpn, но интернет не работает на моем iphone.

Пожалуйста, помогите… в чем проблема? Мой iphone или я просто не настроил какие-либо правила или что-то еще на сервере Windows 2019?

Вы выполнили шаг 6? На этом шаге у вас есть опция «общедоступный интерфейс для подключения к Интернету». Вы выбрали интерфейс NAT?

Все делал по этой инструкции. Дело в том, что у меня нет локального IP-адреса, потому что это сервер удаленного рабочего стола, и мне назначено 5 IP-адресов. Я не уверен в использовании локальных IP-адресов, таких как 127.0.0.1 или 192.168.0.1 … Я сделал все, как в этой инструкции, не учитывая, что у меня нет локальных IP-адресов. Я подключаюсь к удаленному серверу без проблем, vpn также подключается к нему без проблем. Проблема появляется на моем телефоне, после того как я подключаюсь к vpn, интернет на моем телефоне перестает работать.

Настроил vpn-соединение для Mac, то же самое.

Я подключаюсь за миллисекунды, но после подключения у меня нет инета.

Я также проверил, может быть, это проблема NS, потому что на Windows Server 2019 я использую google NS (8.8.8.8 и 8.8.4.4), но я попытался подключиться напрямую к IP-адресу, и мне это не удалось. Поэтому я устранил эту проблему с сервером имен.

Возможно, это как-то связано с брандмауэром Windows? который не разрешает исходящий трафик из VPN? Я создал правило для входящего трафика... но в этой инструкции ничего не говорится о правилах для исходящего трафика.

Я пытался сделать это на своем MAC, то же самое, что и на моем телефоне. На моем телефоне была включена отправка всего трафика. Может быть, это как-то связано с исходящими правилами?

Технология виртуальной частной сети (VPN) позволяет пользователям, работающим за пределами офиса, подключаться к своей частной сети экономичным и безопасным способом. Создание такого типа объединенной сети называется виртуальной частной сетью. VPN использует обычный Интернет в качестве среды для достижения конечной точки, т. е. частной сети или внутри корпоративной сети.

В VPN-подключении данные инкапсулируются или упаковываются и шифруются с помощью заголовка, который предоставляет информацию о маршрутизации, позволяющую им проходить через общую сеть или общедоступную транспортную сеть для достижения пункта назначения. Часть соединения, в которой инкапсулируются личные данные, называется туннелем. VPN-подключения используют протокол туннелирования "точка-точка" (PPTP) или протокол туннелирования второго уровня/безопасность интернет-протокола (L2TP/IPSec) через Интернет в качестве среды.

Итак, что требуется для развертывания VPN в организации. Системный администратор может реализовать VPN, если у него есть следующие компоненты.

VPN-сервер (Windows 2008/2003)

Интернет-инфраструктура с общедоступным IP-адресом

Клиенты VPN (Windows 7, Windows XP или Mac OSX 10.5.x)

Инфраструктура интрасети (сети Microsoft, AD, DNS и DHCP с достаточным количеством IP-адресов)

Инфраструктура аутентификации, авторизации и учета (AAA) (Windows/Radius)

Развертывание: вы можете установить Windows Server 2008 на стандартное оборудование с двумя сетевыми адаптерами. В моей ситуации я использовал три сетевых адаптера, так как мой VPN-сервер также является сервером беспроводной аутентификации. Итак, у меня работает и то, и другое (VPN+Wireless). Один сетевой адаптер для внутренней сети, другой для общедоступного IP-адреса (VPN) и еще один для беспроводных сетей (пропустите третий сетевой адаптер, если вы не находитесь в такой же ситуации). Все сетевые карты должны иметь статический IP. Вы должны подключиться через общедоступный IP-адрес к вашему VPN-серверу. VPN-сервер должен быть членом домена, а сертификат компьютера/машины должен быть установлен на VPN-сервере. Я настраиваю DHCP на сервере VPN. Чтобы VPN-клиент мог получить IP с этого сервера, а не с внутреннего DHCP-сервера. Это облегчает мою жизнь и дает достаточно IP. Вы также можете указать существующий DHCP-сервер при настройке VPN, если вы решите не настраивать DHCP на VPN-сервере. Здесь я расскажу о развертывании L2TP IPSec. L2TP IPSec является безопасным и предпочтительным VPN для меня. Следующие снимки экрана сделают все остальное за вас.

Здесь вы можете выбрать VPN+NAT, этого достаточно.

Здесь вы должны выбрать тип туннеля, метод шифрования, тип NASPort. Это очень важно.

Я использовал Microsoft server 2008 R2 в качестве VPN-сервера с использованием L2TP IPSec. Я использовал аутентификацию Windows, а не Radius. В этом случае безопасное соединение выглядит для пользователя как частное сетевое соединение, однако эта VPN подключается через общедоступные сети. Для подключения к VPN-серверу требуются сертификат пользователя и компьютера. Также пользователь должен быть пользователем домена. В вашей ситуации наверняка было бы иначе. Поступайте так, как уместно в вашей ситуации. Надеюсь, это поможет вам настроить VPN-сервер.

В этой статье описывается, как настроить сервер L2TP/IPsec за устройством NAT-T.

Применимо к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 926179

Обзор

Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в разделе Резервное копирование и восстановление реестра в Windows.

Из-за того, как устройства NAT преобразуют сетевой трафик, вы можете столкнуться с неожиданными результатами в следующем сценарии:

  • Вы размещаете сервер за устройством NAT.
  • Вы используете среду IPsec NAT-T.

Если для связи необходимо использовать IPsec, используйте общедоступные IP-адреса для всех серверов, к которым можно подключиться из Интернета. Если вам необходимо поместить сервер за устройством NAT, а затем использовать среду IPsec NAT-T, вы можете включить связь, изменив значение реестра на клиентском компьютере VPN и сервере VPN.

Установите ключ реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule, выполните следующие действия:

Войдите на клиентский компьютер Windows Vista как пользователь, который является членом группы администраторов.

Выберите «Пуск» > «Все программы» > «Стандартные» > «Выполнить», введите regedit и нажмите «ОК». Если на экране отображается диалоговое окно «Контроль учетных записей пользователей», в котором предлагается повысить права администратора, выберите «Продолжить».

Найдите и выберите следующий подраздел реестра:

Вы также можете применить значение DWORD AssumeUDPEncapsulationContextOnSendRule к клиентскому компьютеру VPN под управлением Microsoft Windows XP с пакетом обновления 2 (SP2). Для этого найдите и выберите подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec.

В меню "Правка" выберите "Создать" и выберите "Значение DWORD (32 разряда)".

Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши AssumeUDPEncapsulationContextOnSendRule и выберите "Изменить".

В поле "Значение" введите одно из следующих значений:

Это значение по умолчанию. Если для него установлено значение 0, Windows не может устанавливать сопоставления безопасности с серверами, расположенными за устройствами NAT.

Если установлено значение 1, Windows может устанавливать ассоциации безопасности с серверами, расположенными за устройствами NAT.

Из-за отключения поддержки PPTP VPN в iOS один из моих клиентов решил перенастроить VPN-сервер под управлением Windows Server 2012 R2 с PPTP на L2TP/IPSec. Внутренние клиенты VPN из локальной сети без проблем подключаются к серверу VPN, однако внешние клиенты Windows получают ошибку 809 при попытке установить соединение с сервером L2TP VPN:

Не удалось установить сетевое соединение между вашим компьютером и сервером VPN, так как удаленный сервер не отвечает. Это может быть связано с тем, что одно из сетевых устройств (например, брандмауэры, NAT, маршрутизаторы и т. д.) между вашим компьютером и удаленным сервером не настроено на разрешение VPN-соединений. Обратитесь к администратору или поставщику услуг, чтобы определить, какое устройство может быть причиной проблемы.

В других версиях Windows ошибки подключения 800, 794 или 809 могут указывать на ту же проблему.

Стоит отметить, что VPN-сервер находится за NAT, а маршрутизатор настроен на переадресацию портов L2TP:

  • UDP 1701 — протокол пересылки уровня 2 (L2F) и протокол туннелирования уровня 2 (L2TP)
  • УДП 500
  • UDP 4500 NAT-T — обход транслятора сетевых адресов IPSec
  • Протокол 50 ESP

Эти порты также открыты в правилах брандмауэра Windows для VPN-подключения. Т.е. используется классическая конфигурация. Для подключения используется встроенный клиент Windows VPN.

Ошибка VPN 809 для L2TP/IPSec в Windows за NAT

Но есть и обходной путь. Исправить этот недостаток можно, включив поддержку протокола NAT-T, что позволяет инкапсулировать пакеты ESP 50 в пакеты UDP на порту 4500. NAT-T включен по умолчанию практически во всех операционных системах (iOS, Android, Linux), кроме Окна.

Если VPN-сервер L2TP/IPsec находится за устройством NAT, для правильного подключения внешних клиентов через NAT необходимо внести некоторые изменения в реестр как на стороне сервера, так и на стороне клиента, чтобы разрешить инкапсуляцию пакетов UDP для L2TP и Поддержка NAT-T в IPsec.

  • Откройте редактор реестра ( regedit.exe ) и перейдите к следующему разделу реестра:
    • Windows 10/8.1/Vista и Windows Server 2016/2012R2/2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    • Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
    • 0 — (значение по умолчанию) предполагает, что сервер подключен к Интернету без NAT;
    • 1 — VPN-сервер находится за устройством NAT;
    • 2 — и VPN-сервер, и клиент находятся за NAT.

    Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

    После включения поддержки NAT-T вы сможете успешно подключаться к VPN-серверу с клиента через NAT (включая двойной NAT).

    В некоторых случаях для правильной работы VPN необходимо включить дополнительное правило брандмауэра для TCP 1701 (в некоторых реализациях L2TP этот порт используется вместе с UDP 1701).

    NAT-T работал некорректно в более ранних сборках Windows 10, например 10240, 1511, 1607. Если у вас более старая версия Windows, рекомендуем обновить сборку Windows 10.

    Несколько L2TP VPN-подключений из одной локальной сети

    Есть еще одна интересная ошибка VPN. Если в вашей локальной сети есть несколько компьютеров Windows, вы не можете установить более одного одновременного подключения к внешнему VPN-серверу L2TP/IPSec. Если вы попытаетесь подключиться к тому же VPN-серверу с другого компьютера (с активным VPN-туннелем с другого устройства), появится код ошибки 809 или 789:

    Интересно, что эта проблема возникает только на устройствах Windows. На устройствах Linux/MacOS/Android в той же локальной сети таких проблем нет. Вы можете легко подключиться к серверу VPN L2TP с нескольких устройств одновременно.

    Согласно TechNet, проблема связана с некорректной реализацией клиента L2TP/IPSec в Windows (не исправляется уже много лет).

    Чтобы исправить эту ошибку, вам нужно изменить два параметра реестра в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузить компьютер:

    • AllowL2TPWeakCrypto — изменить на 00000001 (разрешает слабые алгоритмы шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES);
    • Запретить IPSec — измените на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN-клиентами или системными инструментами).

    Выполните следующую команду, чтобы применить эти изменения реестра:

    reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
    reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v Запретить IpSec /t REG_DWORD /d 0 /f

    Это обеспечивает поддержку параллельных VPN-подключений L2TP/IPSec в Windows через общий общедоступный IP-адрес (работает во всех версиях от Windows XP до Windows 10).

    Судя по последним обновлениям iOS, я больше не могу использовать VPN для своего ноутбука при подключении к точке доступа, созданной на моем iPhone с iOS 10. В любом случае, я думаю, что пришло время обновить мой VPN. Мне было интересно, как лучше всего это сделать. В настоящее время у меня есть маршрутизатор SoniCwall, перенаправляющий PPTP (порт 1723) на мой сервер win2k8 R2, который обрабатывает VPN-подключения.

    Популярные темы в Windows Server

    дбито

    Вы можете сделать это двумя способами:

    Затем откройте необходимые порты через Sonicwall на сервер L2TP.

    5 ответов

    Я думал, что они убили PPTP в iOS9. в любом случае вы можете сделать то же самое с L2TP.

    дбито

    Вы можете сделать это двумя способами:

    Затем откройте необходимые порты через Sonicwall на сервер L2TP.

    Я полагаю, что в iOS 9 исключена возможность подключения к PPTP VPN, а в iOS10 удален PPTP через транзитную точку доступа. Поэтому теперь я не могу подключиться к PPTP VPN, если я подключен к точке доступа iPhone.

    Дбеато. Спасибо за ссылки. Итак, из того, что я понял, ниже приведены дополнительные шаги, которые мне нужно предпринять, чтобы включить соединения L2TP? Кроме того, будут ли по-прежнему разрешены как PPTP, так и L2TP?

    Сначала проверьте, действительно ли порт L2TP настроен в службе маршрутизации и удаленного доступа (RRAS).

    <р>2. Проверьте предварительный общий ключ RAS

    Убедитесь, что настроен предварительный общий ключ RAS. Проверка безопасности общего ключа RAS также выполняется в консоли управления маршрутизацией и удаленным доступом.

    <р>3. Добавьте правила брандмауэра Windows

    Добавить UDP 500 (IKE)
    Добавить UDP 4500 (NAT-T) для
    Добавить ESP (протокол 50) из пользовательского правила.

    <р>4. Создать политику NAT в Sonicwall

    Я предполагаю, что после выполнения этих шагов мне просто нужно настроить VPN-подключение на стороне клиента с предварительным общим ключом, и все будет хорошо? :)

    дбито

    Coupee36 писал:

    Я полагаю, что в iOS 9 исключена возможность подключения к PPTP VPN, а в iOS10 удален PPTP через сквозную точку доступа. Поэтому теперь я не могу подключиться к PPTP VPN, если я подключен к точке доступа iPhone.

    Дбеато. Спасибо за ссылки. Итак, из того, что я понял, ниже приведены дополнительные шаги, которые мне нужно предпринять, чтобы включить L2TP-соединения? Кроме того, будут ли по-прежнему разрешены как PPTP, так и L2TP?

    1. Проверьте наличие портов L2TP

    Сначала проверьте, действительно ли порт L2TP настроен в маршрутизации и удаленном доступе (RRAS).

    2. Проверьте предварительный общий ключ RAS

    Убедитесь, что предварительный общий ключ RAS ключ настроен. Проверка безопасности предварительного общего ключа RAS также выполняется в консоли управления маршрутизацией и удаленным доступом.

    3. Добавьте правила брандмауэра Windows

    Добавьте UDP 500 (IKE)
    Добавьте UDP 4500 (NAT-T) для
    Добавьте ESP (протокол 50) из пользовательского правила.

    <р>4. Создать политику NAT в Sonicwall

    Я предполагаю, что после выполнения этих шагов мне просто нужно настроить VPN-подключение на стороне клиента с предварительным общим ключом, и все будет хорошо? :)

    Читайте также: