Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра regedit.exe и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
   

• 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
• 1 – VPN сервер находится за NAT;
• 2 — и VPN сервер и клиент находятся за NAT.

Set-ItemProperty -Path «HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent» -Name «AssumeUDPEncapsulationContextOnSendRule» -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

Исправление: Ошибка попытки подключения L2TP, так как уровень безопасности обнаружил ошибку обработки

Сообщение об ошибке: «Попытка L2TP-подключения не удалась из-за того, что уровень безопасности обнаружил ошибку обработки во время первоначальных переговоров с удаленным компьютером», обычно называется ошибкой VPN 789. Это одна из наиболее распространенных ошибок. Ошибки VPN это происходит, когда пользователь пытается подключиться к L2TP. Здесь попытка подключения L2TP не удалась, поскольку уровень безопасности обнаружил ошибку обработки во время первого согласования с удаленным компьютером.

Сообщение об ошибке: «Попытка L2TP-подключения не удалась, поскольку уровень безопасности обнаружил ошибку обработки во время первого согласования с удаленным компьютером» является общей ошибкой, чтобы определить, когда согласование IPSec не удается для подключений L2TP / IPSec. Это происходит только из-за неправильной конфигурации операционной системы пользователя.

Возможные причины: «Попытка L2TP-подключения не удалась из-за ошибки обработки на уровне безопасности во время первых переговоров с удаленным компьютером».

• VPN-клиент на базе L2TP (или VPN-сервер) находится за NAT.
• Поддельный сертификат или предварительный ключ размещается на VPN-сервере или клиенте.
• Сертификат доверенного компьютера или сертификат корневого компьютера отсутствует на сервере VPN.
• Сертификат машины на сервере VPN не имеет «аутентификации сервера» как EKU.

Как исправить «Попытка L2TP-подключения не удалась, поскольку уровень безопасности обнаружил ошибку обработки во время первых переговоров с удаленным компьютером».

Перезагрузите сетевой адаптер VPN.

1. Щелкните правой кнопкой мыши «Пуск» и выберите «Диспетчер устройств».
2. Найдите «Сетевые адаптеры» и щелкните раскрывающееся меню, чтобы развернуть список.
3. Найдите свой сетевой адаптер.
4. Щелкните правой кнопкой мыши и выберите «Удалить».
5. Теперь нажмите «ОК».
6. Перезагрузите систему.

Обновление за апрель 2021 года:

Теперь мы рекомендуем использовать этот инструмент для вашей ошибки. Кроме того, этот инструмент исправляет распространенные компьютерные ошибки, защищает вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для максимальной производительности. Вы можете быстро исправить проблемы с вашим ПК и предотвратить появление других программ с этим программным обеспечением:

• Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
• Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
• Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

Изменение параметров IPSEC

• Откройте Инструменты администрирования из Панели управления.
• Дважды щелкните по Сервисам.
• Поиск услуг IPSEC. (ike и AuthIP IPsec Keying Modules, агент политики IPsec) Убедитесь, что тип запуска является автоматическим и что статус установлен на Пуск. При необходимости дважды щелкните Службы IPsec, чтобы изменить эти настройки.
• Если он не «запущен», щелкните правой кнопкой мыши, чтобы запустить его.
• Щелкните правой кнопкой мыши и выберите Свойства. Для «Тип запуска» выберите «Автоматически» и сохраните.
• Проверьте соединение VPN.
• Перезапустите VPN-соединение и проверьте его.

Активация MS-CHAP v2

1. Убедитесь, что VPN-соединение правильно настроено для соответствия идентификационной информации VPN-сервера, к которому вы пытаетесь подключиться, и добавьте соединение.
2. Как только соединение добавлено, оно появится в списке сетевых адаптеров.
3. Нажмите Windows + R, чтобы открыть командную строку «Выполнить».
4. Введите «ncpa.cpl» и нажмите «Enter», чтобы открыть настройки сетевого адаптера.
5. Щелкните правой кнопкой мыши добавленное соединение «VPN» и выберите «Свойства».
6. Щелкните вкладку «Безопасность» и активируйте параметр «Разрешить эти протоколы».
7. Активируйте опцию «Microsoft-CHAP Version 2» и нажмите «OK».
8. Попробуйте подключиться к VPN и убедитесь, что проблема сохраняется.

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

Сайт технической поддержки
для клиентов фиксированной связи

Не запускается соединение

Фильтр

Невозможно использовать это подключение во время загрузки, поскольку оно настроено на использование смарт-карты. Измените свойства этого подключения, чтобы использовались данные смарт-карты.

Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
Обратитесь к системному администратору. Текущая настройка параметров L2TP несовместима с реализацией протокола L2TP корпорации Майкрософт.

Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
Обратитесь к системному администратору.

Обратитесь к системному администратору. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам:
— Возможно, удаленный сервер выключен;
— На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
— Ваше подключение не настроено на использование правильных учетных данных.

Проверьте работу подключения к Интернету. Если подключение работает, свяжитесь со своим системным администратором. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам.
— Возможно, удаленный сервер выключен;
— На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
— Ваше подключение не настроено на использование правильных учетных данных;
— Ваше подключение настроено на использование метода безопасности, отличного от метода безопасности удаленного компьютера. Проверьте настройки безопасности. Попробуйте изменить тип VPN-подключения. Чтобы изменить тип VPN-подключения, щелкните подключение правой кнопкой мыши, выберите команду Свойства , а затем просмотрите сведения на вкладке Сеть .

Обратитесь к системному администратору. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам:
— Возможно, удаленный сервер выключен;
— На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
— Ваше подключение не настроено на использование правильных учетных данных;
— Компьютер использует недействительный общий секретный ключ. Попробуйте воспользоваться другим общим ключом.

В удаленной сети должен быть настроен атрибут для данного подключения. Свяжитесь с администратором удаленной сети.

В удаленной сети должен быть настроен атрибут для данного подключения. Свяжитесь с администратором удаленной сети.

Для данного подключения требуется модем. Выполните следующие действия:
— Закройте все программы и повторите попытку установить подключение. Возможно, модем или коммуникационный порт, к котором он подключен, используется другой программой;
— Убедитесь, что на компьютере установлен модем;
— Проверьте правильность функционирования модема.

ICS требует, чтобы узел был настроен на использование адреса 192.168.0.1. Убедитесь, что никакой другой клиент сети не использует адрес 192.168.0.1. Проверьте IP-адреса всех компьютеров, подключенных к локальной сети и при необходимости измените их.

L2tp 788 windows ошибка

Вопрос

I am trying to connect to a Windows 8.1 PC via a VPN. I am using IPSEC and have what I believe to be the correct services running on the PC. I have also set up my router to port forward ports 500, 50, 51, 1701, 4500(tried for various reasons). Lastly, I have set up a connection on the client PC(also windows 8.1) using Layer 2 tunneling and a PSK. After all of this I am getting the following error: The L2TP connection attempt failed because the security layer could not negotiate compatible parameters with the remote computer

Ответы

Все ответы

According to your description,please check VPN setting for your client PC.

Ensure your vpn configuration is right.

Then,check that Windows services on your device are configured as described below.

1.Press Win+R,type»services.msc»,press Enter.

2.In the «Services» window,scroll down the list to «IKE and AuthIP IPsec Keying Modules».

3.Ensure the «Startup type» is set to be «Automatic» and the «Service status» is «Started».

4.Now back in the «Services» window, double click on «IPsec Policy Agent».
Repeat the same process as for the «IKE and AuthIP IPsec Keying Modules», ensuring the «Startup type» is set to be «Automatic» and the «Service status» is «Started».

Meanwhile, let’s temporarily disable Windows firewall and security software.