Configurer un serveur L2TP/IPsec derrière un appareil NAT-T

Cet article explique comment configurer un serveur L2TP/IPsec derrière un appareil NAT-T.

Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 926179

Résumé

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Par défaut, Windows Vista et Windows Server 2008 ne prennent pas en charge les associations de sécurité NAT (Network Address Translation) de traduction d’adresses réseau (NAT-T) aux serveurs situés derrière un appareil NAT. Si le serveur de réseau privé virtuel (VPN) se trouve derrière un périphérique NAT, un ordinateur client VPN Windows Vista ou Windows Server 2008 ne peut pas établir une connexion L2TP (Layer 2 Tunneling Protocol)/IPsec au serveur VPN. Ce scénario inclut les serveurs VPN qui exécutent Windows Server 2008 et Windows Server 2003.

En raison de la façon dont les appareils NAT traduisent le trafic réseau, vous pouvez rencontrer des résultats inattendus dans le scénario suivant :

• Vous placez un serveur derrière un appareil NAT.
• Vous utilisez un environnement NAT-T IPsec.

Si vous devez utiliser IPsec pour la communication, utilisez des adresses IP publiques pour tous les serveurs auxquels vous pouvez vous connecter à partir d’Internet. Si vous devez placer un serveur derrière un périphérique NAT, puis utiliser un environnement NAT-T IPsec, vous pouvez activer la communication en modifiant une valeur de Registre sur l’ordinateur client VPN et le serveur VPN.

Définir la clé de Registre AssumeUDPEncapsulationContextOnSendRule

Pour créer et configurer la valeur de Registre AssumeUDPEncapsulationContextOnSendRule , procédez comme suit :

1. Connectez-vous à l’ordinateur client Windows Vista en tant qu’utilisateur membre du groupe Administrateurs.

2. Sélectionnez Démarrer>l’exécution de tous lesaccessoires> de programmes>, tapez regedit, puis sélectionnez OK. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche à l’écran et vous invite à élever votre jeton d’administrateur, sélectionnez Continuer.

3. Recherchez puis sélectionnez la sous-clé de Registre suivante :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   Remarque

   Vous pouvez également appliquer la valeur DWORD AssumeUDPEncapsulationContextOnSendRule à un ordinateur client VPN Microsoft Windows XP Service Pack 2 (SP2). Pour ce faire, recherchez et sélectionnez la sous-clé de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec Registre.

4. Dans le menu Modifier , pointez sur Nouveau, puis sélectionnez DWORD (32 bits) Valeur.

5. Tapez AssumeUDPEncapsulationContextOnSendRule, puis appuyez sur Entrée.

6. Cliquez avec le bouton droit sur AssumeUDPEncapsulationContextOnSendRule, puis sélectionnez Modifier.

7. Dans la zone Données de la valeur, tapez l’une des valeurs suivantes :

   • 0

     Il s’agit de la valeur par défaut. Lorsqu’il est défini sur 0, Windows ne peut pas établir d’associations de sécurité avec des serveurs situés derrière des appareils NAT.

   • 1

     Lorsqu’il est défini sur 1, Windows peut établir des associations de sécurité avec des serveurs situés derrière des appareils NAT.

   • 2

     Lorsqu’il est défini sur 2, Windows peut établir des associations de sécurité lorsque le serveur et l’ordinateur client VPN (Windows Vista ou Windows Server 2008) se trouvent derrière des appareils NAT.

8. Sélectionnez OK, puis quittez le Registre Rédacteur.

9. Redémarrez l'ordinateur.