Поделиться через


Настройка сервера L2TP/IPsec за устройством NAT-T

В этой статье описывается настройка сервера L2TP/IPsec за устройством NAT-T.

Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 926179

Сводка

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

По умолчанию Windows Vista и Windows Server 2008 не поддерживают связи безопасности IPsec для передачи сетевых адресов (NAT) обхода (NAT-T) с серверами, расположенными за устройством NAT. Если сервер виртуальной частной сети (VPN) находится за устройством NAT, клиентский VPN-компьютер под управлением Windows Vista или Windows Server 2008 не может установить подключение протокола L2TP или IPsec к VPN-серверу. Этот сценарий включает VPN-серверы под управлением Windows Server 2008 и Windows Server 2003.

Из-за того, как устройства NAT преобразуют сетевой трафик, вы можете столкнуться с непредвиденными результатами в следующем сценарии:

  • Сервер помещается за устройством NAT.
  • Вы используете среду NAT-T IPsec.

Если необходимо использовать IPsec для связи, используйте общедоступные IP-адреса для всех серверов, к которым можно подключиться из Интернета. Если необходимо поместить сервер за устройством NAT, а затем использовать среду NAT-T IPsec, можно включить обмен данными, изменив значение реестра на компьютере VPN-клиента и VPN-сервере.

Установка раздела реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule , выполните следующие действия.

  1. Войдите на клиентский компьютер Windows Vista в качестве пользователя, который является членом группы администраторов.

  2. Выберите Запустить>все программы>Стандартные>запуск, введите regedit и нажмите кнопку ОК. Если на экране появится диалоговое окно Контроль учетных записей пользователей с предложением повысить уровень маркера администратора, нажмите кнопку Продолжить.

  3. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Примечание.

    Можно также применить значение DWORD AssumeUDPEncapsulationContextOnSendRule DWORD на основе VPN-компьютера Microsoft Windows XP с пакетом обновления 2 (SP2). Для этого найдите и выберите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec подраздел реестра.

  4. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите DWORD (32-разрядное) Значение.

  5. Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.

  6. Щелкните правой кнопкой мыши assumeUDPEncapsulationContextOnSendRule и выберите Команду Изменить.

  7. В поле Данные значения введите одно из следующих значений:

    • 0

      Это значение по умолчанию. Если задано значение 0, Windows не может установить связи безопасности с серверами, расположенными за устройствами NAT.

    • 1

      Если задано значение 1, Windows может устанавливать связи безопасности с серверами, расположенными за устройствами NAT.

    • 2

      Если задано значение 2, Windows может устанавливать связи безопасности, если сервер и VPN-клиентский компьютер (Windows Vista или Windows Server 2008) находятся за устройствами NAT.

  8. Нажмите кнопку ОК, а затем закройте Редактор реестра.

  9. Перезагрузите компьютер.