Condividi tramite

Configurare un server L2TP/IPsec dietro un dispositivo NAT-T

Questo articolo descrive come configurare un server L2TP/IPsec dietro un dispositivo NAT-T.

Numero KB originale: 926179

Riepilogo

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Per impostazione predefinita, Windows Vista e Windows Server 2008 non supportano le associazioni di sicurezza NAT (Network Address Translation) NAT (Internet Protocol Security). Se il server VPN (Virtual Private Network) si trova dietro un dispositivo NAT, un computer client VPN basato su Windows Vista o Windows Server 2008 non può creare una connessione L2TP (Layer 2 Tunneling Protocol)/IPsec al server VPN. Questo scenario include server VPN che eseguono Windows Server 2008 e Windows Server 2003.

A causa del modo in cui i dispositivi NAT traducono il traffico di rete, è possibile che si verifichino risultati imprevisti nello scenario seguente:

  • Si inserisce un server dietro un dispositivo NAT.
  • Si usa un ambiente NAT-T IPsec.

Se è necessario usare IPsec per la comunicazione, usare indirizzi IP pubblici per tutti i server a cui è possibile connettersi da Internet. Se è necessario inserire un server dietro un dispositivo NAT e quindi usare un ambiente NAT-T IPsec, è possibile abilitare la comunicazione modificando un valore del Registro di sistema nel computer client VPN e nel server VPN.

Impostare La chiave del Registro di sistema AssumeUDPEncapsulationContextOnSendRule

Per creare e configurare il valore del Registro di sistema AssumeUDPEncapsulationContextOnSendRule , seguire questa procedura:

  1. Accedere al computer client Windows Vista come utente membro del gruppo Administrators.

  2. Selezionare Start All Programs Accessories Run (Avvia>tutti i programmi>accessori>), digitare regedit e quindi selezionare OK. Se nella schermata viene visualizzata la finestra di dialogo Controllo account utente e viene richiesto di elevare il token di amministratore, selezionare Continua.

  3. Individuare e selezionare la sottochiave seguente del Registro di sistema:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Note

    È anche possibile applicare il valore DWORD AssumeUDPEncapsulationContextOnSendRule a un computer client VPN basato su Microsoft Windows XP Service Pack 2 (SP2). A tale scopo, individuare e quindi selezionare la sottochiave del HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec Registro di sistema.

  4. Scegliere Nuovo dal menu Modifica e quindi selezionare Valore DWORD (32 bit).

  5. Digitare AssumeUDPEncapsulationContextOnSendRule e quindi premere INVIO.

  6. Fare clic con il pulsante destro del mouse su AssumeUDPEncapsulationContextOnSendRule e quindi scegliere Modifica.

  7. Nella casella Dati valore digitare uno dei valori seguenti:

    • 0

      Si tratta del valore predefinito. Quando è impostato su 0, Windows non riesce a stabilire associazioni di sicurezza con i server che si trovano dietro i dispositivi NAT.

    • 1

      Quando è impostato su 1, Windows può stabilire associazioni di sicurezza con i server che si trovano dietro i dispositivi NAT.

    • 2

      Quando è impostato su 2, Windows può stabilire associazioni di sicurezza quando sia il computer client server che il computer client VPN (Windows Vista o Windows Server 2008) si trovano dietro i dispositivi NAT.

  8. Selezionare OK e quindi uscire dall'editor del Registro di sistema.

  9. Riavviare il computer.