Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра regedit.exe и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
   

• 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
• 1 – VPN сервер находится за NAT;
• 2 — и VPN сервер и клиент находятся за NAT.

Set-ItemProperty -Path «HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent» -Name «AssumeUDPEncapsulationContextOnSendRule» -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

VPN ошибка 809 в Windows 7,8,10

Иногда, при попытке запустить подключение VPN в Windows 7 может появится ошибка 809 с комментарием:»Нельзя установить связь по сети между компьютером и VPN сервером, поскольку удалённый сервер не отвечает». Чаще всего проблема возникает из-за ошибки самого пользователя. Дело в том, что сейчас чаще всего в домах и квартирах стоят роутеры, которые сами подключаются к серверу и раздают Интернет. Пользователь пытается параллельно с компьютера поднять ещё одно соединение и потому выскакивает ошибка 809 в Windows 7. С этим сталкивались многие абоненты Билайн. Поэтому если у Вас установлен роутер — не нужно поднимать ещё какие-либо соединения.

Вторая причина, по которой появляется ошибка подключения 809 по VPN L2TP — это брандмауэр Windows 7. Так как в нём по умолчанию не настроена правильно обработка VPN-соединения, система попросту блокирует его. Для решения можно либо полностью отключить брандмауэр Виндовс, что не совсем правильно, либо немного подправить реестр. Этим мы сейчас и займёмся.

Нажимаем комбинацию Win+R и вводим в строчку «Открыть» команду regedit.

Нажимаем кнопку «ОК». Должно появится окно редактора реестра Windows 7.
В древовидном списке в левой части окна нужно найти нужную ветку. В Windows XP :

Далее в правой части окна с помощью меню «Правка»>»Создать» Вам нужно создать параметр DWORD для 32-разрядной версии с именем AssumeUDPEncapsulationContextOnSendRule. Далее кликаем по нему правой кнопкой мыши и выбираем пункт меню «Изменить». В поле значение нужно указать одно из вот этих значений:

0 — значение по умолчанию. Запрет подключения к VPN-серверу, находящемуся за NAT
1 — Разрешает подключение, если за NAT находится только сервер. При этом важное условие — у клиента должен быть “белый” IP-адрес
2 — Разрешает VPN подключение, если за NAT находятся и сервер, и его клиент.

Обычно для того, чтобы исправить ошибку 809 при подключении к интернету Билайн, либо другого провайдера, использующего протокол VPN L2TP, достаточно поставить значение 2.
Перезагружаем Windows 7 и проверяем подключение к Интернету.

Методы устранения ошибки 809. Почему она возникает?

Случается так, что владельцы ПК, стремящиеся создать VPN-подсоединение к интернету, сталкиваются со всевозможными проблемами, среди которых распространённой является ошибка 809. Это приводит человека к замешательству, особенно если он абсолютно не разбирается в причинах возникновения ошибок и существующих путях их устранения.

Основные причины ошибки 809 и пути её решения мы разберем в этой статье

Факторы, способствующие проявлению проблем

Причин, по которым может возникать ошибка 809 VPN, препятствующая созданию доступа к глобальной сети, насчитать можно несколько. Если правильно выявить такие причины, ликвидировать проблему будет гораздо проще, поскольку существуют рекомендации, позволяющие вносить достаточно просто требуемые изменения в настройки и обеспечивать VPN-подсоединение к сети.

Причины возникновения проблемы

Ошибка 809 возникает тогда, когда кто-то стремится создать сетевой доступ при помощи VPN-соединения, которое относится к типу виртуальных частных сетей.

Брандмауэр, обязательная составляющая операционной системы, блокирует попытки осуществления такого соединения. Кроме брандмауэра может блокировать сетевое соединение любое устройство, подсоединённое к компьютеру и участвующее в обеспечении сетевого доступа. В качестве одного из девайсов, блокирующего доступ к сети, может выступать маршрутизатор, NAT.

Явной причиной возникновения такой проблемы может являться неполная установка ОС или в некоторых случаях уже установленная система, но сопровождающаяся какими-либо неполадками.

Иногда устанавливают программное обеспечение, скачанное из непроверенных источников, вследствие чего при установке вносятся автоматические изменения в системный реестр, провоцирующие возникновение проблем, связанных с доступом к сети.

Разлад в систему может внести вредоносное программное обеспечение, а также вирусы, способные не только повреждать, но и удалять значимые системные файлы, без которых невозможно обеспечить доступ к интернету.

Поиск и искоренение неполадки позволит избегать подобных проблем в дальнейшем.

Пути искоренения ошибок

Выявив вероятную проблему, юзер должен приложить усилия для её устранения. Если самостоятельно устранить неполадки, ознакомившись с инструкциями, не удаётся, следует обратиться за помощью к специалистам, которые без затруднения быстро установят и ликвидируют ошибки.

Как самостоятельно исправить проблему

Поскольку наиболее вероятной причиной проявления ошибки при VPN подключении считаются недостающие параметры в реестре, очень важно в ручном режиме внести все важные изменения.

Первоначально следует найти ветку реестра, в которую должны вноситься важные дополнения.

Чтобы зайти в реестр и ввести в него системные дополнения, следует нажать «Пуск», затем в строку поиска ввести regedit.

Если на ПК установлен Windows XP, владелец техники должен найти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Когда же установлен Windows 7 или Vista, ветка будет выглядеть иначе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.

Теперь для внесения изменений следует выделить требуемый реестр, кликнув по нему мышкой, далее в меню «Правка» следует выбрать подменю «Создать». Из предлагаемых вариантов необходимо выбрать DWORD.

На экране откроется доступная строка, в которую нужно занести требуемые изменения. В неё пользователь должен ввести AssumeUDPEncapsulationContextOnSendRule, после чего подтвердить внесённые изменения.

После внесения дополнений в системный реестр юзер должен выделить его, используя мышку, и выбрать параметр «Изменить». В появившемся поле можно ввести 0, 1 или 2, в зависимости от обозначенных целей.

Значение «0» чаще всего устанавливается по умолчанию и свидетельствует о том, что при эксплуатации NAT-устройств сетевое подключение не предусмотрено.

Значение «1» разрешает обеспечить подключение к серверу, используя NAT-устройства.

Значение «2» способствует успешной настройке операционной системы в режиме безопасности, обеспечивая подключение ПК к серверу на базе VPN при помощи NAT-девайсов.

Безусловно, чаще всего прибегают именно к введению значения «2». Чтобы все дополнения и изменения вступили в силу, очень важно перезагрузить электронную вычислительную машину.

Когда же проблема с VPN-соединением возникает из-за вирусов, важно обновить антивирусное приложение и запустить полноценное сканирование. Также совсем не помешает почистить операционку, удалив все временные файлы.

Установка обновлений, драйверов могут тоже посодействовать решению проблемы, сопровождающейся надписью «ошибка 809». Если причиной неполадки является программное обеспечение, которое было некорректно инсталлировано или вступившее в конфликт с иным ПО, успешно помогает функция «Восстановление системы», позволяющая откатить систему на несколько суток назад, когда проблем с VPN-соединением не возникало.

И только в отдельных случаях приходится переустанавливать систему, отдавая предпочтение полной загрузке Windows.

Итак, системные ошибки предупреждают, что часть важных дополнений отсутствует или недееспособно. Чтобы вернуть работоспособность всем параметрам и обеспечить доступ к всемирной паутине, следует приложить усилия, проявить повышенное внимание, выполнить последовательно все рекомендуемые действия. Усилия будут потрачены не зря, поскольку контакт компьютера с сервером будет обеспечен.

Как исправить ошибку VPN 809 в Windows 10

VPN, также известная как виртуальная частная сеть, является обязательной услугой для повышения вашей конфиденциальности в Интернете при просмотре веб-страниц. Будь то безопасность и отсутствие отслеживания ваших действий по поджариванию или просмотр фильмов и телешоу, заблокированных в вашем регионе, VPN, безусловно, может стать благом в сегодняшнюю цифровую эпоху.

Вы когда-нибудь сталкивались с ошибкой 809 при подключении к VPN на своем ПК с Windows 10? Да, ошибка 809 — это распространенная ошибка VPN, которая не позволяет установить соединение между устройством (локальным клиентом) и удаленным сервером.

Вот все, что вам нужно знать об ошибке 809 VPN, почему она возникает и как мы можем успешно решить эту проблему, чтобы установить безопасное соединение без каких-либо препятствий.

Что такое ошибка VPN 809? Почему это вызвано?

Ошибка VPN 809 чаще всего возникает, когда ваше устройство не может подключиться к серверу VPN из-за наличия брандмауэра, который блокирует порты VPN.

Общие причины:

• Заблокированные порты VPN.
• Неверное значение в реестре Windows
• Неверно настроенные параметры PAP.
• Вмешательство сторонних приложений и сервисов.

Как исправить ошибку VPN 809 в Windows 10

Вот несколько полезных решений, которые позволят вам устранить ошибку 809 на ПК с Windows.

Решение №1: отредактируйте реестр Windows

1. Нажмите сочетание клавиш Windows + R, чтобы открыть окно «Выполнить».
2. Введите «Regedit» в поле поиска и нажмите Enter.
3. В окне редактора реестра перейдите по следующему пути:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
4. Щелкните правой кнопкой мыши запись файла и выберите значение «DWORD» (32-битное), чтобы создать новый файл.
5. Введите следующую строку в качестве значения реестра:
   AssumeUDPEncapsulationContextOnSendRule
6. Нажмите на ОК. Также не забудьте изменить значение данных с «0» на «2».
7. Закройте все активные окна, перезагрузите устройство, чтобы проверить, не возникают ли проблемы при подключении к службе VPN

Решение № 2: Настройте параметры PAP

Следующим обходным путем для устранения «ошибки VPN 809» в Windows 10 является настройка параметров VPN PAP на вашем устройстве.

Коснитесь значка меню «Пуск» и выберите значок в виде шестеренки, чтобы открыть «Настройки». Кроме того, вы также можете нажать комбинацию клавиш Windows + I, чтобы открыть настройки Windows.

1. В настройках нажмите на опцию «Сеть и Интернет».
2. На левой панели меню переключитесь на «VPN», а затем нажмите на опцию «Добавить VPN-соединение».
3. Заполните всю необходимую информацию, включая имя подключения, идентификатор пользователя, пароль.
4. Перейдите на вкладку «Свойства» и перейдите в раздел «Безопасность»> «Дополнительные настройки».
5. Выберите «Разрешить эти протоколы» и установите флажок «Незашифрованный пароль (PAP)».
6. Перезагрузите устройство, чтобы проверить, сохраняется ли проблема.

Решение № 3: Включите порты брандмауэра

Как мы упоминали ранее, ошибка VPN 809 возникает, когда порты брандмауэра VPN на вашем устройстве блокируются по какой-либо причине. Чтобы решить эту проблему, вам необходимо выполнить следующие действия:

1. Перейдите в Панель управления> Безопасность системы> Брандмауэр Windows.
2. Нажмите на опцию «Дополнительные настройки», расположенную на левой панели меню.
3. Щелкните правой кнопкой мыши параметр «Правила для входящих подключений» и выберите «Новое правило».
4. Включите опцию «Порт» и нажмите «Далее».
5. Внесите желаемые изменения в конфигурацию, чтобы продолжить.
6. Выберите параметр «Разрешить подключение» и нажмите кнопку «Далее».
7. Выберите «Тип сети», независимо от того, принадлежит ли она корпоративному домену, общедоступному или частному.
8. Введите название правила, которое вы недавно создали, а затем нажмите кнопку «Готово».

Вышеупомянутые шаги откроют порты брандмауэра VPN на вашем устройстве, чтобы вы могли возобновить использование служб VPN на своем устройстве.

Мы надеемся, что перечисленные выше решения помогут вам устранить ошибку VPN 809 на устройствах с Windows 10. Если у вас возникнут другие вопросы или помощь, напишите нам!