Konfigurowanie serwera L2TP/IPsec za urządzeniem NAT-T

W tym artykule opisano sposób konfigurowania serwera L2TP/IPsec za urządzeniem NAT-T.

Dotyczy: Windows 10 — wszystkie wersje, Windows Server 2012 R2
Oryginalny numer KB: 926179

Podsumowanie

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Domyślnie systemy Windows Vista i Windows Server 2008 nie obsługują skojarzeń zabezpieczeń protokołu internetowego (IPsec) translacji adresów sieciowych (NAT) przechodzenia (NAT-T) z serwerami znajdującymi się za urządzeniem NAT. Jeśli serwer wirtualnej sieci prywatnej (VPN) znajduje się za urządzeniem NAT, komputer kliencki sieci VPN z systemem Windows Vista lub Windows Server 2008 nie może nawiązać połączenia protokołu tunelowania warstwy 2 (L2TP)/protokołu IPsec z serwerem sieci VPN. Ten scenariusz obejmuje serwery sieci VPN z systemem Windows Server 2008 i Windows Server 2003.

Ze względu na sposób, w jaki urządzenia NAT tłumaczą ruch sieciowy, mogą wystąpić nieoczekiwane wyniki w następującym scenariuszu:

• Serwer należy umieścić za urządzeniem NAT.
• Używasz środowiska IPsec NAT-T.

Jeśli do komunikacji należy użyć protokołu IPsec, użyj publicznych adresów IP dla wszystkich serwerów, z którymi można nawiązać połączenie z Internetu. Jeśli musisz umieścić serwer za urządzeniem NAT, a następnie użyć środowiska IPsec NAT-T, możesz włączyć komunikację, zmieniając wartość rejestru na komputerze klienckim sieci VPN i serwerze sieci VPN.

Ustaw klucz rejestru AssumeUDPEncapsulationContextOnSendRule

Aby utworzyć i skonfigurować wartość rejestru AssumeUDPEncapsulationContextOnSendRule , wykonaj następujące kroki:

1. Zaloguj się na komputerze klienckim z systemem Windows Vista jako użytkownik będący członkiem grupy Administratorzy.

2. Wybierz pozycję Uruchom>wszystkie programy>Akcesoria>, wpiszregedit, a następnie wybierz przycisk OK. Jeśli na ekranie zostanie wyświetlone okno dialogowe Kontrola konta użytkownika i zostanie wyświetlony monit o podniesienie poziomu tokenu administratora, wybierz pozycję Kontynuuj.

3. Odszukaj i wybierz następujący podklucz rejestru:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

   Uwaga

   Możesz również zastosować wartość AssumeUDPEncapsulationContextOnSendRule DWORD do komputera klienckiego sieci VPN z dodatkiem Microsoft Windows XP z dodatkiem Service Pack 2 (SP2). W tym celu znajdź, a następnie wybierz podklucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec rejestru.

4. W menu Edytuj wskaż pozycję Nowy, a następnie wybierz pozycję DWORD (32-bitowa) wartość.

5. Wpisz AssumeUDPEncapsulationContextOnSendRule, a następnie naciśnij klawisz ENTER.

6. Kliknij prawym przyciskiem myszy pozycję AssumeUDPEncapsulationContextOnSendRule, a następnie wybierz pozycję Modyfikuj.

7. W polu Dane wartości wpisz jedną z następujących wartości:

   • 0

     Jest to wartość domyślna. Po ustawieniu wartości 0 system Windows nie może ustanowić skojarzeń zabezpieczeń z serwerami znajdującymi się za urządzeniami NAT.

   • 1

     Po ustawieniu wartości 1 system Windows może ustanowić skojarzenia zabezpieczeń z serwerami znajdującymi się za urządzeniami NAT.

   • 2

     Po ustawieniu wartości 2 system Windows może ustanowić skojarzenia zabezpieczeń, gdy zarówno serwer, jak i komputer kliencki sieci VPN (oparty na systemie Windows Vista lub Windows Server 2008) znajdują się za urządzeniami NAT.

8. Wybierz przycisk OK, a następnie zamknij Redaktor rejestru.

9. Uruchom ponownie komputer.