Windows l2tp без ipsec

Windows l2tp без ipsec

Изначально, не планировал выделять для данного материала отдельный пост, но так как проблема не решается годами, решил рассказать о ней чуть подробнее. Проблема заключается в том, что из локальной сети, имеющей единственный выход в Интернет, невозможно установить одновременно более одного соединения к внешнему L2TP/IPSec VPN серверу с компов под управлением Windows.

Допустим, у вас заведено несколько пользователей на внешнем VPN L2TP сервере. По отдельности, каждый из них спокойно устанавливает соединение с сервером и работает стабильно, без сбоев. Любые попытки одновременной работы с VPN сервером других пользователей сети, использующих один внешний IP, прерывают работу друг друга, возвращая в журнал Windows код ошибки 809.

Наблюдается такой эффект исключительно на компьютерах под управлением ОС Windows, начиная с XP и заканчивая «десяткой». Причём на Linux и MacOS всё прекрасно работает вне зависимости от того, сколько одновременно клиентов подключается к удалённому L2TP/IPSec серверу. Так что это проблема не в настройках VPN сервера или роутера, как пишут на многих форумах (да и сами мелкомягкие), а именно в некорректной работе встроенного L2TP/IPSec клиента на Windows.

Честно говоря, ранее эта проблема обходила меня стороной. Всегда использовал OpenVPN и столкнулся с ней впервые только сейчас, после поднятия L2TP VPN-сервера на роутере Keenetic. После чего и было принято решение объединять сети офисов между собой, а не давать доступ отдельным клиентам, но об этом расскажу в следующей статье.

Есть ли решение проблемы при работе с L2TP/IPSec в Windows?

Но неужели Microsoft не знает о проблеме? Знает. Как оказалось, проблема давно известна и описана в статье https://support.microsoft.com/en-us/kb/926179. Но вот с решением беда.

Читайте также:  Не запускается служба темы windows 7

Если совсем кратко, то там говорится что в случае, когда VPN сервер L2TP/IPsec находится за NAT, для корректного подключения внешних клиентов через NAT необходимо на стороне сервера и клиента внести изменение в реестр, разрешавшее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

К сожалению, добавление в реестр параметра DWORD с именем UDPEncapsulationContextOnSendRule и значением ( ), о котором также написано в статье, проблемы не решает.

Параметр UDPEncapsulationContextOnSendRule добавляется в ветку реестра:

  • для Windows XP — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
  • для Windows Vista/7/8/10 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

В сети можно найти упоминание ещё пары дополнительных ключей реестра и отключении одной службы, связанной с играми, но вся эта неведомая магия не работает. Как только появляется другой клиент под виндой, твоё соединение отваливается.

Чтобы получить хоть какую-то пользу (кроме моего негативного опыта) от моего поста, собрал несколько ссылок по теме L2TP/IPsec и NAT-T в Windows:

  • Настройка сервера L2TP/IPsec за устройством NAT-T в Windows: https://support.microsoft.com/ru-ru/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows
  • Реализация L2TP/IPsec VPN сервера стандартными средствами Windows 7/8 для подключения Windows/iOS/Android систем к внутренней сети: https://habr.com/ru/post/210410/
  • IPSec — протокол защиты сетевого трафика на IP-уровне: https://www.ixbt.com/comm/ipsecure.shtml

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Отключение IPsec для L2tp подключения Windows 7

При подключении к l2tp ( например к поднятому на linux — xl2tpd ) Windows 7 зависает на операции проверки пароля хотя в логах сервера нет даже намека на подключение. Затык происходит на стадии подключения IPsec, собственно с отключенным IPsec на стороне сервера этим все и заканчивается. Мы можем отключить IPsec для l2tp внеся в реестр директиву, либо гораздо удобнее создать reg файл и его импортировать :

Читайте также:  Как узнать количество строк в ворде

REGEDIT4
[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters]
«ProhibitIpSec»=dword:00000001

This entry was posted on Суббота, 10 ноября, 2012 at 15:30 and is filed under Новости. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Добрый день!
не могу подключиться к серверу VPN по туннелю L2TP.
В Win7 и Win 8 IPSec отключается в реестре
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManParameters]
"ProhibitIpSec"=dword:00000001
"AllowL2TPWeakCrypto"=dword:00000001

а вот в 10ке такое не помогло. кто подскажет как отключить IPSec?

Ссылка на основную публикацию
Adblock detector