Поделиться через


Настройка сервера L2TP/IPsec за устройством NAT-T

В этой статье описывается, как настроить сервер L2TP/IPsec за устройством NAT-T.

Исходный номер базы знаний: 926179

Итоги

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

По умолчанию Windows Vista и Windows Server 2008 не поддерживают передачу сетевых адресов (NAT) (NAT) (NAT-T) на серверы, расположенные за устройством NAT. Если сервер виртуальной частной частной сети (VPN) находится за устройством NAT, то клиентский компьютер VPN на основе Windows Vista или Windows Server 2008 не может сделать подключение протокола 2 туннелирования уровня 2 (L2TP)/IPsec к VPN-серверу. Этот сценарий включает VPN-серверы под управлением Windows Server 2008 и Windows Server 2003.

Из-за того, как устройства NAT преобразуют сетевой трафик, могут возникнуть непредвиденные результаты в следующем сценарии:

  • Сервер помещается за устройством NAT.
  • Вы используете среду IPsec NAT-T.

Если для обмена данными необходимо использовать IPsec, используйте общедоступные IP-адреса для всех серверов, к которым можно подключиться из Интернета. Если необходимо поместить сервер за устройством NAT, а затем использовать среду IPsec NAT-T, можно включить связь, изменив значение реестра на клиентском компьютере VPN и VPN-сервере.

Установка раздела реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule , выполните следующие действия.

  1. Войдите на клиентский компьютер Windows Vista в качестве пользователя, являющегося членом группы "Администраторы".

  2. Нажмите кнопку "Пуск всех программ" "Запуск> стандартных программ>>", введите regedit и нажмите кнопку "ОК". Если на экране отображается диалоговое окно "Контроль учетных записей пользователей" и появится запрос на повышение уровня маркера администратора, нажмите кнопку "Продолжить".

  3. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Примечание.

    Кроме того, можно применить значение DWORD для microsoft Windows XP с пакетом обновления 2 (SP2) на клиентском компьютере VPN на основе Microsoft Windows XP. Для этого найдите и выберите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec подраздел реестра.

  4. В меню "Изменить" наведите указатель мыши на "Создать", а затем выберите значение DWORD (32-разрядная версия).

  5. Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.

  6. Щелкните правой кнопкой мыши AssumeUDPEncapsulationContextOnSendRule и выберите пункт "Изменить".

  7. В поле "Данные значения" введите одно из следующих значений:

    • 0

      Это значение по умолчанию. Если установлено значение 0, Windows не может установить связи безопасности с серверами, расположенными за устройствами NAT.

    • 1

      Если установлено значение 1, Windows может установить связи безопасности с серверами, расположенными за устройствами NAT.

    • 2

      Если задано значение 2, Windows может установить связи безопасности, если сервер и VPN-клиентский компьютер (Windows Vista или Windows Server 2008) находятся за устройствами NAT.

  8. Нажмите кнопку "ОК", а затем закройте редактор реестра.

  9. Перезагрузите компьютер.