Lire en anglais

Partager via

Configurer un serveur L2TP/IPsec derrière un appareil NAT-T

  • Article

Cet article explique comment configurer un serveur L2TP/IPsec derrière un appareil NAT-T.

Numéro de base de connaissances d’origine : 926179

Résumé

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.

Par défaut, Windows Vista et Windows Server 2008 ne prennent pas en charge les associations de sécurité d’adresses réseau IPsec (NAT) Traversal (NAT-T) vers les serveurs situés derrière un appareil NAT. Si le serveur de réseau privé virtuel (VPN) se trouve derrière un appareil NAT, un ordinateur client VPN windows Vista ou Windows Server 2008 ne peut pas établir de connexion de protocole de tunneling de couche 2 (L2TP)/IPsec au serveur VPN. Ce scénario inclut des serveurs VPN exécutant Windows Server 2008 et Windows Server 2003.

En raison de la façon dont les appareils NAT traduisent le trafic réseau, vous pouvez rencontrer des résultats inattendus dans le scénario suivant :

  • Vous placez un serveur derrière un appareil NAT.
  • Vous utilisez un environnement NAT-T IPsec.

Si vous devez utiliser IPsec pour la communication, utilisez des adresses IP publiques pour tous les serveurs auxquels vous pouvez vous connecter à partir d’Internet. Si vous devez placer un serveur derrière un appareil NAT, puis utiliser un environnement NAT-T IPsec, vous pouvez activer la communication en modifiant une valeur de Registre sur l’ordinateur client VPN et le serveur VPN.

Définir la clé de Registre AssumeUDPEncapsulationContextOnSendRule

Pour créer et configurer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule , procédez comme suit :

  1. Connectez-vous à l’ordinateur client Windows Vista en tant qu’utilisateur membre du groupe Administrateurs.

  2. Sélectionnez Démarrer>toutes les exécutions d’accessoires> de programmes>, tapez regedit, puis sélectionnez OK. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche à l’écran et vous invite à élever votre jeton d’administrateur, sélectionnez Continuer.

  3. Recherchez puis sélectionnez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Notes

    Vous pouvez également appliquer la valeur DWORD AssumeUDPEncapsulationContextOnSendRule à un ordinateur client VPN basé sur Microsoft Windows XP Service Pack 2 (SP2). Pour ce faire, recherchez, puis sélectionnez la sous-clé de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec Registre.

  4. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez Valeur DWORD (32 bits).

  5. Tapez AssumeUDPEncapsulationContextOnSendRule, puis appuyez sur Entrée.

  6. Cliquez avec le bouton droit sur AssumeUDPEncapsulationContextOnSendRule, puis sélectionnez Modifier.

  7. Dans la zone Données de valeur, tapez l’une des valeurs suivantes :

    • 0

      Il s’agit de la valeur par défaut. Lorsqu’il est défini sur 0, Windows ne peut pas établir d’associations de sécurité avec des serveurs situés derrière des appareils NAT.

    • 1

      Lorsqu’il est défini sur 1, Windows peut établir des associations de sécurité avec des serveurs situés derrière des appareils NAT.

    • 2

      Lorsqu’il est défini sur 2, Windows peut établir des associations de sécurité lorsque le serveur et l’ordinateur client VPN (Windows Vista ou Windows Server 2008) sont derrière les appareils NAT.

  8. Sélectionnez OK, puis quittez l’Éditeur du Registre.

  9. Redémarrez l’ordinateur.