Compartilhar via


Configurar um servidor L2TP/IPsec por trás de um dispositivo NAT-T

Este artigo descreve como configurar um servidor L2TP/IPsec por trás de um dispositivo NAT-T.

Número original do KB: 926179

Resumo

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Por padrão, o Windows Vista e o Windows Server 2008 não oferecem suporte a associações de segurança IPsec (Internet Protocol Security) NAT (Network Address Translation) NAT-T para servidores localizados atrás de um dispositivo NAT. Se o servidor VPN (rede virtual privada) estiver atrás de um dispositivo NAT, um computador cliente VPN baseado no Windows Vista ou no Windows Server 2008 não poderá fazer uma conexão L2TP/IPsec de Camada 2 com o servidor VPN. Esse cenário inclui servidores VPN que executam o Windows Server 2008 e o Windows Server 2003.

Devido à maneira como os dispositivos NAT convertem o tráfego de rede, você pode experimentar resultados inesperados no seguinte cenário:

  • Você coloca um servidor atrás de um dispositivo NAT.
  • Você usa um ambiente IPsec NAT-T.

Se você precisar usar o IPsec para comunicação, use endereços IP públicos para todos os servidores aos quais você pode se conectar a partir da Internet. Se você precisar colocar um servidor atrás de um dispositivo NAT e, em seguida, usar um ambiente IPsec NAT-T, poderá habilitar a comunicação alterando um valor do Registro no computador cliente VPN e no servidor VPN.

Definir a chave do Registro AssumeUDPEncapsulationContextOnSendRule

Para criar e configurar o valor do Registro AssumeUDPEncapsulationContextOnSendRule , siga estas etapas:

  1. Faça logon no computador cliente do Windows Vista como um usuário que seja membro do grupo Administradores.

  2. Selecione Iniciar>todos os programas>Execução de acessórios> Se a caixa de diálogo Controle de Conta de Usuário for exibida na tela e solicitar que você eleve o token de administrador, selecione Continuar.

  3. Localize e selecione a seguinte subchave de Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Observação

    Você também pode aplicar o valor DWORD AssumeUDPEncapsulationContextOnSendRule a um computador cliente VPN baseado no Microsoft Windows XP Service Pack 2 (SP2). Para fazer isso, localize e selecione a subchave do HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec Registro.

  4. No menu Editar, aponte para Novo e selecione Valor DWORD (32 bits).

  5. Digite AssumeUDPEncapsulationContextOnSendRules e pressione ENTER.

  6. Clique com o botão direito do mouse em AssumeUDPEncapsulationContextOnSendRules e selecione Modificar.

  7. Na caixa Dados do valor, digite um dos seguintes valores:

    • 0

      É o valor padrão. Quando definido como 0, o Windows não pode estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT.

    • 1

      Quando definido como 1, o Windows pode estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT.

    • 2

      Quando definido como 2, o Windows pode estabelecer associações de segurança quando o servidor e o computador cliente VPN (baseado no Windows Vista ou Windows Server 2008) estão atrás de dispositivos NAT.

  8. Selecione OK e saia do Editor do Registro.

  9. Reinicie o computador.