在 NAT-T 设备后面配置 L2TP/IPsec 服务器
本文介绍如何在 NAT-T 设备后面配置 L2TP/IPsec 服务器。
适用于:Windows 10 - 所有版本,Windows Server 2012 R2
原始 KB 编号: 926179
摘要
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表。
默认情况下,Windows Vista 和 Windows Server 2008 不支持 Internet 协议安全 (IPsec) 网络地址转换 (NAT) Traversal (NAT-T) 与 NAT 设备后面的服务器的安全关联。 如果虚拟专用网络 (VPN) 服务器位于 NAT 设备后面,则基于 Windows Vista 或 Windows Server 2008 的 VPN 客户端计算机无法与 VPN 服务器建立第 2 层隧道协议 (L2TP) /IPsec 连接。 此方案包括运行 Windows Server 2008 和 Windows Server 2003 的 VPN 服务器。
由于 NAT 设备转换网络流量的方式,在以下方案中可能会遇到意外结果:
- 将服务器置于 NAT 设备后面。
- 使用 IPsec NAT-T 环境。
如果必须使用 IPsec 进行通信,请对可从 Internet 连接到的所有服务器使用公共 IP 地址。 如果必须将服务器置于 NAT 设备后面,然后使用 IPsec NAT-T 环境,则可以通过更改 VPN 客户端计算机和 VPN 服务器上的注册表值来启用通信。
设置 AssumeUDPEncapsulationContextOnSendRule 注册表项
若要创建和配置 AssumeUDPEncapsulationContextOnSendRule 注册表值,请执行以下步骤:
以管理员组成员身份登录到 Windows Vista 客户端计算机。
选择 “启动>所有程序>附件>运行”,键入 regedit,然后选择 “确定”。 如果屏幕上显示“ 用户帐户控制 ”对话框,并提示你提升管理员令牌,请选择 “继续”。
找到并选择以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
注意
还可以将 AssumeUDPEncapsulationContextOnSendRule DWORD 值应用于 Microsoft Windows XP Service Pack 2 (SP2) 的 VPN 客户端计算机。 为此,请找到并选择
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
注册表子项。在 “编辑” 菜单上,指向 “新建”,然后选择 “DWORD” (32 位) 值。
键 入 AssumeUDPEncapsulationContextOnSendRule,然后按 ENTER。
右键单击 “AssumeUDPEncapsulationContextOnSendRule”,然后选择 “修改”。
在 “值数据 ”框中,键入以下值之一:
0
这是默认值。 设置为 0 时,Windows 无法与 NAT 设备后面的服务器建立安全关联。
1
设置为 1 时,Windows 可以与 NAT 设备后面的服务器建立安全关联。
2
设置为 2 时,当服务器和 VPN 客户端计算机 (Windows Vista 或基于 Windows Server 2008 的) 都位于 NAT 设备后面时,Windows 可以建立安全关联。
选择 “确定”,然后退出注册表编辑器。
重启计算机。
反馈
提交和查看相关反馈