Konfigurowanie serwera L2TP/IPsec za urządzeniem NAT-T

W tym artykule opisano sposób konfigurowania serwera L2TP/IPsec za urządzeniem NAT-T.

Oryginalny numer KB: 926179

Podsumowanie

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Domyślnie systemy Windows Vista i Windows Server 2008 nie obsługują skojarzeń zabezpieczeń protokołu internetowego (IPsec) translacji adresów sieciowych (NAT-T) dla serwerów znajdujących się za urządzeniem NAT. Jeśli serwer wirtualnej sieci prywatnej (VPN) znajduje się za urządzeniem NAT, komputer kliencki sieci VPN oparty na systemie Windows Vista lub Windows Server 2008 nie może nawiązać połączenia Z serwerem sieci VPN w warstwie 2 (L2TP)/IPsec. Ten scenariusz obejmuje serwery sieci VPN z systemami Windows Server 2008 i Windows Server 2003.

Ze względu na sposób, w jaki urządzenia NAT tłumaczą ruch sieciowy, mogą wystąpić nieoczekiwane wyniki w następującym scenariuszu:

• Serwer należy umieścić za urządzeniem TRANSLATOR adresów sieciowych.
• Używasz środowiska NAT-T protokołu IPsec.

Jeśli musisz użyć protokołu IPsec do komunikacji, użyj publicznych adresów IP dla wszystkich serwerów, z którymi można nawiązać połączenie z Internetu. Jeśli musisz umieścić serwer za urządzeniem NAT, a następnie użyć środowiska IPsec NAT-T, możesz włączyć komunikację, zmieniając wartość rejestru na komputerze klienckim sieci VPN i serwerze sieci VPN.

Ustaw klucz rejestru AssumeUDPEncapsulationContextOnSendRule

Aby utworzyć i skonfigurować wartość rejestru AssumeUDPEncapsulationContextOnSendRule , wykonaj następujące kroki:

1. Zaloguj się na komputerze klienckim systemu Windows Vista jako użytkownik będący członkiem grupy Administratorzy.

2. Wybierz pozycję Uruchom>wszystkie programy>Akcesoria>Uruchom, wpisz regedit, a następnie wybierz przycisk OK. Jeśli na ekranie zostanie wyświetlone okno dialogowe Kontrola konta użytkownika i zostanie wyświetlone monit o podniesienie poziomu tokenu administratora, wybierz pozycję Kontynuuj.

3. Odszukaj i wybierz następujący podklucz rejestru:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   Uwaga 16.

   Można również zastosować wartość DworD AssumeUDPEncapsulationContextOnSendRule DWORD do komputera klienckiego sieci VPN opartego na pakiecie Microsoft Windows XP z dodatkiem Service Pack 2 (SP2). W tym celu znajdź i wybierz podklucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec rejestru.

4. W menu Edycja wskaż pozycję Nowy, a następnie wybierz pozycję DWORD (32-bitowa) Wartość.

5. Wpisz AssumeUDPEncapsulationContextOnSendRule, a następnie naciśnij ENTER.

6. Kliknij prawym przyciskiem myszy pozycję PrzyjmijDPEncapsulationContextOnSendRule, a następnie wybierz polecenie Modyfikuj.

7. W polu Dane wartości wpisz jedną z następujących wartości:

   • 0

     Jest to wartość domyślna. Po ustawieniu wartości 0 system Windows nie może ustanowić skojarzeń zabezpieczeń z serwerami znajdującymi się za urządzeniami NAT.

   • 1

     Po ustawieniu wartości 1 system Windows może ustanowić skojarzenia zabezpieczeń z serwerami znajdującymi się za urządzeniami NAT.

   • 2

     Po ustawieniu wartości 2 system Windows może ustanowić skojarzenia zabezpieczeń, gdy zarówno serwer, jak i komputer kliencki sieci VPN (oparty na systemie Windows Vista lub Windows Server 2008) znajdują się za urządzeniami NAT.

8. Wybierz przycisk OK, a następnie zamknij Edytor rejestru.

9. Uruchom ponownie komputer.