- Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT
- VPN ошибка 809 для L2TP/IPSec в Windows за NAT
- L2TP VPN не работает на некоторых Windows компьютерах в локальной сети
- FIX: VPN error 809 on Windows 10
- 5 Best VPNs we recommend
- How can I fix VPN error 809 on Windows 10?
- Enable the ports on your firewall or router
- Use a VPN client instead of a manual VPN connection
- Private Internet Access
- Make a small modification to the system registry
- Disable Xbox Live Networking services
- Check PAP settings
- Справочная информация
- пятница, 14 августа 2015 г.
- Ошибка соединения 809 при использовании L2TP IpSec для подключения по VPN с профилем SSTP на MikroTik
Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT
Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:
The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.
В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.
Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:
- UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
- UDP 500
- UDP 4500 NAT-T – IPSec Network Address Translator Traversal
- Protocol 50 ESP
В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.
VPN ошибка 809 для L2TP/IPSec в Windows за NAT
Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.
Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.
Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.
- Откройте редактор реестра regedit.exe и перейдите в ветку:
- Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
- Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
- Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
- 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
- 1 – VPN сервер находится за NAT;
- 2 — и VPN сервер и клиент находятся за NAT.
Set-ItemProperty -Path «HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent» -Name «AssumeUDPEncapsulationContextOnSendRule» -Type DWORD -Value 2 –Force;
После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).
L2TP VPN не работает на некоторых Windows компьютерах в локальной сети
Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:
По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).
Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:
- AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
- ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)
Для изменения этих параметров реестра достаточно выполнить команды:
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v ProhibitIpSec /t REG_DWORD /d 0 /f
Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).
FIX: VPN error 809 on Windows 10
- If you receive the VPN error 809, it means that the network connection between your computer and the VPN server could not be established because the remote server is not responding.
- You can easily fix this error by following our instructions below. However, the best long-term solution is to use a native VPN app instead of a manual VPN connection.
- Discover more solutions to similar issues in our VPN Errors Code section.
- Join our VPN Troubleshooting Hub to master your VPN service.
VPN error 809 is usually caused by the firewall between the client and server, which blocks the ports used by the VPN tunnel.
On top of that, Windows doesn’t support IPsec NAT-T security associations to servers behind a NAT device by default.
When the error appears, the event log too won’t display any related logs because the traffic can’t reach the MX’s WAN interface. But you should be able to solve it on Windows 10.
Here’s the error message we’re talking about.
5 Best VPNs we recommend
| 79% Off + 2 free Months |  Check offer! | |
| 83% Off (2.25$/Month) + 3 free Months | Check offer! | |
| 68% Off + 1, 12 or 24 free Months (random prize) | Check offer! | |
| 83% Off (2.21$/Month) + 3 free Months | Check offer! | |
| 76% (2.83$) on 2 Years plan | Check offer! |
How can I fix VPN error 809 on Windows 10?
Enable the ports on your firewall or router
You need to open the ports on your firewall or router, depending on which VPN protocol you’re using.
- Port 1723 over TCP for PPTP
- Port 500 or 4500 over UDP for L2TP/IPsec or IKEv2/IPsec
If this is not possible, deploy the SSTP- or OpenVPN-based tunnel on your VPN provider.
This allows the VPN connection to work across the firewall, NAT, and web proxies.
Use a VPN client instead of a manual VPN connection
Windows 10 is prone to various problems, including VPN errors like 809. It can be the result of incorrect network settings.
Even if you manage to fix the issue, it doesn’t mean you won’t face it again.
So, if you’re looking for a long-term solution to get rid of VPN errors, we suggest opting for Private Internet Access (PIA).
It has a native VPN app ready for Windows 10 as well as older Windows versions and other devices: Mac, Linux, Android, and iOS, and even routers.
You can use PIA to create a secure tunnel to the public Internet. This way, you can protect your privacy, encrypt your data against any hacker attacks, and unblock content that’s not available to your region.
- Support for OpenVPN and WireGuard protocols
- Native port forwarding
- Kill switch
- No logging, no leaks
- 24/7 live chat support
- 30-day money-back guarantee (no free trial)
Private Internet Access
Use this reliable VPN app to eliminate any VPN errors and enjoy a secure connection on your device.
Make a small modification to the system registry
Note: some third party network apps can cause VPN error 809, like SmartByte, so disabling it can also fix the problem and let your VPN connect again.
Disable Xbox Live Networking services
If your anti-malware solution is not compatible with Windows 10, it could break down your IPsec connections.
So you should temporarily disable it to see if it’s the root of VPN error 809.
Check PAP settings
In conclusion, you should be able to fix the VPN error 809 on your Windows 10 PC by opening ports in your firewall or router.
You can also make a tiny modification to your system registry and check PAP settings when creating the VPN connection.
However, the surest way to get rid of VPN errors is by using a native VPN app for Windows instead of setting up a manual VPN connection.
And we can’t think of a more suited VPN provider than Private Internet Access (buy here).
Справочная информация
про свой опыт решения некоторых проблем и использования ряда возможностей ОС и приложений
пятница, 14 августа 2015 г.
Ошибка соединения 809 при использовании L2TP IpSec для подключения по VPN с профилем SSTP на MikroTik
В интересах производственных процессов возникает вопрос обеспечения доступа пользователей к локальной сети предприятия через VPN.
Частным случаем реализации данной задачи является организация доступа через шлюз MikroTik по протоколу L2TP с использованием IpSec и ключа проверки подлинности (IPSec Secret). При этом при создании пользователей для доступа по VPN через сервер L2TP используется профиль SSTP.
Однако, как показала практика, возникают сложности с соединением, выражающиеся в отображении пользователю ошибки 809 при его попытке соединиться с локальной сетью, например:
Устранение данной ошибки является комплексным решением проблемы и включает в себя условно 3 этапа.
1. Модем. При работе из дома пользователи, как правило, используют домашний роутер, предоставленный провайдером услуг Интернет. Необходимо убедиться, что Ваш домашний роутер будет корректно обрабатывать протоколы L2TP и IpSec. Пример решения для одного из модемов приведён в этой заметке.
По личному опыту, этого было достаточно при работе в Linux.
2. Брандмауэр Windows, по умолчанию, блокирует необходимые для описываемого типа VPN-соединения соединения к определённым портам. Для обеспечения соединения нужно открыть доступ к портам UDP 500, 1701, 4500. Назначение этих портов:
500 – ISAKMP – Internet Security Association and Key Management Protocol;
1701 – Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP);
4500 – NAT-T – IPSec Network Address Translator Traversal.
Запустите оснастку управления брандмауэром Windows и нажмите на ссылку «Дополнительные параметры»:
Нужно создать 2 правила: для входящих подключений и исходящих подключений. Активизируйте соответствующий пункт в верхнем меню слева:
При запросе типа правила укажите, что данное правило создаётся для порта:
Аналогично сделайте и для другого вида подключения (в этом примере далее – для исходящего).
Попробуйте установить соединение. Если не помогло – работаем дальше.
3. Внесение измнения в реестр Windows.
Запустите редактор реестра (regedit) и пройдите в ветку
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Rasman\ Parameters
Создайте двоичный параметр DWORD с именем ProhibitIpSec и значением 1:
Перезагрузитесь. Попробуйте соединиться со своей сетью по VPN. Получилось?
