Настройка сервера L2TP/IPsec за устройством NAT-T
В этой статье описывается настройка сервера L2TP/IPsec за устройством NAT-T.
Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 926179
Сводка
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
По умолчанию Windows Vista и Windows Server 2008 не поддерживают связи безопасности IPsec для передачи сетевых адресов (NAT) обхода (NAT-T) с серверами, расположенными за устройством NAT. Если сервер виртуальной частной сети (VPN) находится за устройством NAT, клиентский VPN-компьютер под управлением Windows Vista или Windows Server 2008 не может установить подключение протокола L2TP или IPsec к VPN-серверу. Этот сценарий включает VPN-серверы под управлением Windows Server 2008 и Windows Server 2003.
Из-за того, как устройства NAT преобразуют сетевой трафик, вы можете столкнуться с непредвиденными результатами в следующем сценарии:
- Сервер помещается за устройством NAT.
- Вы используете среду NAT-T IPsec.
Если необходимо использовать IPsec для связи, используйте общедоступные IP-адреса для всех серверов, к которым можно подключиться из Интернета. Если необходимо поместить сервер за устройством NAT, а затем использовать среду NAT-T IPsec, можно включить обмен данными, изменив значение реестра на компьютере VPN-клиента и VPN-сервере.
Установка раздела реестра AssumeUDPEncapsulationContextOnSendRule
Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule , выполните следующие действия.
Войдите на клиентский компьютер Windows Vista в качестве пользователя, который является членом группы администраторов.
Выберите Запустить>все программы>Стандартные>запуск, введите regedit и нажмите кнопку ОК. Если на экране появится диалоговое окно Контроль учетных записей пользователей с предложением повысить уровень маркера администратора, нажмите кнопку Продолжить.
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgentПримечание.
Можно также применить значение DWORD AssumeUDPEncapsulationContextOnSendRule DWORD на основе VPN-компьютера Microsoft Windows XP с пакетом обновления 2 (SP2). Для этого найдите и выберите
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSecподраздел реестра.В меню Правка наведите указатель мыши на пункт Создать, а затем выберите DWORD (32-разрядное) Значение.
Введите AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу ВВОД.
Щелкните правой кнопкой мыши assumeUDPEncapsulationContextOnSendRule и выберите Команду Изменить.
В поле Данные значения введите одно из следующих значений:
0
Это значение по умолчанию. Если задано значение 0, Windows не может установить связи безопасности с серверами, расположенными за устройствами NAT.
1
Если задано значение 1, Windows может устанавливать связи безопасности с серверами, расположенными за устройствами NAT.
2
Если задано значение 2, Windows может устанавливать связи безопасности, если сервер и VPN-клиентский компьютер (Windows Vista или Windows Server 2008) находятся за устройствами NAT.
Нажмите кнопку ОК, а затем закройте Редактор реестра.
Перезагрузите компьютер.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по