Проблема при работе с L2TP/IPSec под Windows которая не решается годами

Изначально, не планировал выделять для данного материала отдельный пост, но так как проблема не решается годами, решил рассказать о ней чуть подробнее. Проблема заключается в том, что из локальной сети, имеющей единственный выход в Интернет, невозможно установить одновременно более одного соединения к внешнему L2TP/IPSec VPN серверу с компов под управлением Windows.

Допустим, у вас заведено несколько пользователей на внешнем VPN L2TP сервере. По отдельности, каждый из них спокойно устанавливает соединение с сервером и работает стабильно, без сбоев. Любые попытки одновременной работы с VPN сервером других пользователей сети, использующих один внешний IP, прерывают работу друг друга, возвращая в журнал Windows код ошибки 809.

Наблюдается такой эффект исключительно на компьютерах под управлением ОС Windows, начиная с XP и заканчивая «десяткой». Причём на Linux и MacOS всё прекрасно работает вне зависимости от того, сколько одновременно клиентов подключается к удалённому L2TP/IPSec серверу. Так что это проблема не в настройках VPN сервера или роутера, как пишут на многих форумах (да и сами мелкомягкие), а именно в некорректной работе встроенного L2TP/IPSec клиента на Windows.

Честно говоря, ранее эта проблема обходила меня стороной. Всегда использовал OpenVPN и столкнулся с ней впервые только сейчас, после поднятия L2TP VPN-сервера на роутере Keenetic. После чего и было принято решение объединять сети офисов между собой, а не давать доступ отдельным клиентам, но об этом расскажу в следующей статье.

Есть ли решение проблемы при работе с L2TP/IPSec в Windows?

Но неужели Microsoft не знает о проблеме? Знает. Как оказалось, проблема давно известна и описана в статье https://support.microsoft.com/en-us/kb/926179. Но вот с решением беда.

Если совсем кратко, то там говорится что в случае, когда VPN сервер L2TP/IPsec находится за NAT, для корректного подключения внешних клиентов через NAT необходимо на стороне сервера и клиента внести изменение в реестр, разрешавшее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

К сожалению, добавление в реестр параметра DWORD с именем UDPEncapsulationContextOnSendRule и значением ( ), о котором также написано в статье, проблемы не решает.

Параметр UDPEncapsulationContextOnSendRule добавляется в ветку реестра:

• для Windows XP — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
• для Windows Vista/7/8/10 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

В сети можно найти упоминание ещё пары дополнительных ключей реестра и отключении одной службы, связанной с играми, но вся эта неведомая магия не работает. Как только появляется другой клиент под виндой, твоё соединение отваливается.

Чтобы получить хоть какую-то пользу (кроме моего негативного опыта) от моего поста, собрал несколько ссылок по теме L2TP/IPsec и NAT-T в Windows:

• Настройка сервера L2TP/IPsec за устройством NAT-T в Windows: https://support.microsoft.com/ru-ru/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows
• Реализация L2TP/IPsec VPN сервера стандартными средствами Windows 7/8 для подключения Windows/iOS/Android систем к внутренней сети: https://habr.com/ru/post/210410/
• IPSec — протокол защиты сетевого трафика на IP-уровне: https://www.ixbt.com/comm/ipsecure.shtml

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 5

Месяц я мучился с WINDOWS 10 Pro .

Мелкософтцы запарили своими багами

Смог наконец то избавиться от ошибки 809.

VPN на Server 2008 R2, клиент Windows 10

2 недели мучился, на Windows 7, Windows 10

СПАСИБО параметры народ)

У меня получилось так. VPN на Server 2008 r2, клиенты на Win 7 и 10. Все за NATом.

Однако клиенты на мобильном интернете не могут подключиться по L2TP, а на Мегафоне и по PPTP.

Ipsec без l2tp windows

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

[РЕШЕНО] L2TP с IPSec не поднимается, а без IPSec -нет проблем

Здравствуйте, уважаемые форумчане!

Имеются: Два микротика: Микротик-1 с белым IP-адресом и второй, Микротик-2 с серым IP_адресом (Билайн).
Схема подключения:
Микротик_1 — Оператор (белый ip)
Микротик_2 — (по WiFi) Смартфон — Сотовый оператор Билайн (на время тестирования)

Задача: Организовать vpn-туннель для установки ip-телефона на удаленном участке.
Посоветовали воспользоваться с L2TP (или же не совсем правильный выбор?)

При поднятии сервера PPTP на Микротике-1 , второй микротик подключается сразу.
! А Вот при L2TP — не хочет по нормальному.
В данный момент картина такая:
Подключается микротик только , после того, как подключусь напрямую со смартфона разочек, а дальше могу подключаться и с самого микротика-2 и с ноутбука, который подключен к этому же микротику. НО, если не подключиться со смартфона хотя бы раз, перед тем как.. то ничего не получается.
При каждой попытке в логах на сервере появляется запись: nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7

——— Когда подключение не устанавливалось с микрота-2 ——————
nov/11 00:18:47 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:19:43 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:19 l2tp,info first L2TP UDP packet received from 85.115.248.7
————- Подключение со Смартфона напрямую ———————-
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:32 ipsec,error authtype mismatched: my:hmac-sha1 peer:hmac-sha256
nov/11 00:20:35 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:37 l2tp,ppp,info,account user2 logged in, 192.168.112.20
nov/11 00:20:37 l2tp,ppp,info : authenticated
nov/11 00:20:38 l2tp,ppp,info : connected
——— Удачное подлкючение с микротика-2 ————————
nov/11 00:20:51 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:20:53 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:20:53 l2tp,ppp,info : authenticated
nov/11 00:20:53 l2tp,ppp,info : connected
———— Разъединение связи со Смартфоном —————————
nov/11 00:21:59 l2tp,ppp,info : terminating. — hungup
nov/11 00:21:59 l2tp,ppp,info,account user2 logged out, 82 2251 2084 39 22
nov/11 00:21:59 l2tp,ppp,info : disconnected
——— Отключил подключение на микротике-2 ————————
nov/11 00:32:28 l2tp,ppp,info : terminating.
nov/11 00:32:28 l2tp,ppp,info,account user2 logged out, 695 4204 2488 67 54
nov/11 00:32:28 l2tp,ppp,info : disconnected
——— Подлкючился снова с микротика-2 ————————-
nov/11 00:32:34 l2tp,info first L2TP UDP packet received from 85.115.248.7
nov/11 00:32:35 l2tp,ppp,info,account user2 logged in, 192.168.112.19
nov/11 00:32:35 l2tp,ppp,info : authenticated
nov/11 00:32:36 l2tp,ppp,info : connected

Дальше с Микротика-2 можно переподключаться сколько угодно..
Всё удачно и работает все нормально.

Настройка VPN (L2TP/IPsec) для Windows и MacOS. Бесплатные серверы VPN Gate

Содержание

Настройка VPN (L2TP/IPsec) для Windows

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate с помощью L2TP/IPsec VPN клиента, встроенного в операционные системы Windows 10, 8.1, 8, 7, Vista, XP, RT, Server 2019, 2016 и 2003, 2008, 2012.

Предварительная конфигурация

• Чтобы открыть Центр управления сетями и общим доступом (также доступен в меню Панель управления > Сеть и Интернет), нажмите сочетание клавиш Windows + R и в окне «Выполнить» введите следующую команду:

• Нажмите ОК.

• Выберите опцию Создание и настройка нового подключения или сети на основной странице Центра управления сетями.
• Выберите вариант Подключение к рабочему месту.

• Затем выберите Использовать мое подключение к Интернету (VPN).

• Откройте список публичных серверов ретрансляции http://www.vpngate.net/en/ и выберите VPN-сервер, к которому хотите подключиться.

Важная информация

Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.

Вы можете применить фильтр поиска серверов Apply search filters, оставив галочку L2TP/IPsec и нажав кнопку Refresh Servers List, как показано на скриншоте выше

• Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле “Адрес в Интернете”.

Примечание

Рекомендуется использовать имя DDNS – его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS – в этом случае следует использовать IP-адрес.

• Если появится экран ввода имени пользователя и пароля, то введите vpn в оба поля. Также можно отметить галочку “Запомнить пароль”.
• Затем перейдите в Центр управления сетями и общим доступом и нажмите ссылку Изменение параметров адаптера, или нажмите сочетание клавиш Windows + R и в окне «Выполнить» введите следующую команду:

• Будет показан список настроенных подключений. Щелкните правой кнопкой мыши по иконке VPN-подключения, созданного на предыдущем шаге и нажмите “Свойства”.

• Перейдите на вкладку Безопасность и в поле «Тип VPN» из выпадающего списка выберите вариант Протокол L2TP с IPsec (L2TP/IPsec). Для параметра «Шифрование данных» выберите обязательное (отключиться, если нет шифрования).

• Затем нажмите кнопку Дополнительные параметры. Появится новое окно, на котором нужно выбрать опцию “Для проверки подлинности использовать общий ключ” и введите vpn в поле “Ключ”.

• После завершения конфигурации дважды нажмите кнопку “ОК”, чтобы закрыть экран настроек подключения VPN.

Подключение к VPN-серверу

• Нажмите по значку значку Сеть (интернет) в области уведомления панели задач (системном трее) и выберите созданное VPN подключение. Нажмите кнопку “Подключиться”.

• Если Имя пользователя и Пароль не заполнены автоматически, то введите vpn в оба поля и нажмите ОК.
• При попытке подключения будет показываться сообщение “Подключение к [выбранный VPN-сервер]”. Если при попытке произойдет ошибка, то убедитесь, что в качестве типа VPN используется «L2TP/IPsec», а ключ проверки подлинности задан правильно.
• Если VPN-соединение будет успешно установлен, то в списке сетей появится новый пункт “VPN-подключение” с состоянием “Подключено».

• Теперь вы сможете быстро и просто устанавливать VPN-подключение с помощью соответствующей иконки в списке сетей.

Интернет без ограничений

Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Убедиться в этом вы сможете с помощью команды tracert 8.8.8.8 в командной строке Windows.

Как показано на скриншоте выше, если пакеты проходят через «10.211.254.254», а значит ваше подключение ретранслируется через один из серверов VPN Gate.

Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес. Вы сможете посмотреть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и играть в заблокированные игры.

Настройка VPN (L2TP/IPsec) для MacOS

Данная инструкция демонстрирует, как подключиться к серверу ретрансляции VPN Gate с помощью L2TP/IPsec VPN клиента, встроенного в операционную систему MacOS.

Предварительная конфигурация

• Нажмите по иконке сетевого подключения в верхнем-правом углу экрана Mac. Выберите Открыть настройки сети. в меню.

• Нажмите кнопку + на экране настройки сети.

• Выберите интерфейс «VPN», тип подключения «L2TP через IPsec» и нажмите кнопку «Создать».
• Будет создана новая конфигурация VPN (L2TP) и появится экран настроек соединения.

• На данном экране нужно ввести либо имя узла, либо IP-адреса сервера из пула открытых серверов VPN Gate.
• Откройте список публичных серверов ретрансляции http://www.vpngate.net/en/ и выберите VPN-сервер, к которому хотите подключиться.

Важная информация

Для столбца L2TP/IPsec Windows, Mac, iPhone, Android No client required в списке серверов должна быть отмечена галочка, которая сообщает о поддержке настраиваемого протокола L2TP/IPsec.

Вы можете применить фильтр поиска серверов Apply search filters, оставив галочку L2TP/IPsec и нажав кнопку Refresh Servers List, как показано на скриншоте выше

• Скопируйте имя узла DDNS (идентификатор, который заканчивается на «.opengw.net») или IP-адрес (цифровое значение xxx.xxx.xxx.xxx) и введите его в поле «Адрес сервера» на экране конфигурации.

Примечание

Рекомендуется использовать имя DDNS – его можно продолжать использовать, даже если соответствующий DDNS IP-адрес в будущем изменится. Тем не менее, в некоторых странах у вас не получиться использовать имя узла DDNS – в этом случае следует использовать IP-адрес.

• После того, как вы указали «Адрес сервера», введите vpn в поле «Имя учетной записи».

• Затем нажмите кнопку Настройки аутентификации.
• Появится экран настроек аутентификации. Введите vpn в поле «Пароль» и в поле «Общий ключ (Shared Secret)». После этого нажмите кнопку «ОК».

• Затем вернитесь на предыдущий экран, отметьте пункт Показывать статус VPN в строке меню и нажмите кнопку Дополнительно. .

• Откроется экран дополнительных настроек. Отметьте галочку Отправлять весь трафик через VPN и нажмите кнопку ОК.

• На экране настроек VPN-подключения нажмите кнопку «Применить», чтобы сохранить настройки соединение.

Запуск VPN -подключения

• Вы можете в любое время установить новое подключение к VPN-серверу, нажав кнопку «Подключить». Вы можете также запустить подключение к VPN, нажав иконку VPN на верхней панели инструментов MacOS.

• После установки VPN-подключения на экране настроек VPN будет отображаться статус «Подключено», а также вам новый IP-адрес и продолжительность подключения.

Интернет без ограничений

Когда соединение установлено, весь сетевой трафик будет проходить через VPN-сервер. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес. Вы сможете посмотреть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и играть в заблокированные игры.