Настройка сервера L2TP/IPsec за устройством NAT-T

  • Статья

В этой статье описывается настройка сервера L2TP/IPsec за устройством NAT-T.

Область действия: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 926179

Аннотация

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

По умолчанию Windows Vista и Windows Server 2008 не поддерживают связи безопасности преобразования сетевых адресов NAT (NAT-T) с серверами, расположенными за устройством NAT. Если сервер виртуальной частной сети (VPN) находится за устройством NAT, компьютер VPN-клиента под управлением Windows Vista или Windows Server 2008 не может установить подключение протокола L2TP или IPsec к VPN-серверу. Этот сценарий включает VPN-серверы под управлением Windows Server 2008 и Windows Server 2003.

Из-за того, как устройства NAT преобразовывают сетевой трафик, в следующем сценарии могут возникнуть непредвиденные результаты.

  • Сервер помещается за устройством NAT.
  • Вы используете среду NAT-T IPsec.

Если для обмена данными необходимо использовать протокол IPsec, используйте общедоступные IP-адреса для всех серверов, к которых можно подключиться из Интернета. Если необходимо разместить сервер за устройством NAT, а затем использовать среду NAT-T IPsec, вы можете включить обмен данными, изменив значение реестра на vpn-клиентском компьютере и VPN-сервере.

Задание раздела реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule , выполните следующие действия.

  1. Войдите на клиентский компьютер Windows Vista в качестве пользователя, который является членом группы "Администраторы".

  2. Выберите "Запустить>все программы>, методы доступа>", введите regedit и нажмите кнопку "ОК". Если на экране появится диалоговое окно "Контроль учетных записей пользователей" с предложением повысить уровень маркера администратора, нажмите кнопку "Продолжить".

  3. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Примечание.

    Вы также можете применить значение DWORD AssumeUDPEncapsulationContextOnSendRule к КОМПЬЮТЕРу VPN-клиента на основе Microsoft Windows XP с пакетом обновления 2 (SP2). Для этого найдите и выберите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec подраздел реестра.

  4. В меню "Правка" наведите указатель мыши на пункт "Создать", а затем выберите значение DWORD (32-разрядное).

  5. Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.

  6. Щелкните правой кнопкой мыши AssumeUDPEncapsulationContextOnSendRule и выберите " Изменить".

  7. В поле "Данные значения " введите одно из следующих значений:

    • 0

      Это значение по умолчанию. Если задано значение 0, Windows не может установить связи безопасности с серверами, расположенными за устройствами NAT.

    • 1

      Если установлено значение 1, Windows может установить связи безопасности с серверами, расположенными за устройствами NAT.

    • 2

      Если установлено значение 2, Windows может установить связи безопасности, когда сервер и клиентский компьютер VPN (на базе Windows Vista или Windows Server 2008) находятся за устройствами NAT.

  8. Нажмите кнопку "ОК" и закройте редактор реестра.

  9. Перезагрузите компьютер.