Настройка сервера L2TP/IPsec за устройством NAT-T

В этой статье описывается настройка сервера L2TP/IPsec за устройством NAT-T.

Применяется к:   Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ:   926179

Сводка

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

По умолчанию Windows Vista и Windows Server 2008 не поддерживают сетевые связи безопасности протокола Интернета (IPsec) с сетевым переводом (NAT) Traversal (NAT-T) на серверы, расположенные за устройством NAT. Если виртуальный частный сетевой сервер (VPN) стоит за устройством NAT, то vpn-клиентский компьютер на основе Windows Vista или Windows Server 2008 не может сделать протокол туннелинга уровня 2 (L2TP)/IPsec к VPN-серверу. Этот сценарий включает VPN-серверы, которые работают Windows Server 2008 и Windows Server 2003.

Из-за того, как устройства NAT переводят сетевой трафик, в следующем сценарии могут возникнуть неожиданные результаты:

  • Вы ставите сервер за устройство NAT.
  • Используется среда IPsec NAT-T.

Если для связи необходимо использовать IPsec, используйте общедоступные IP-адреса для всех серверов, к которые можно подключиться из Интернета. Если необходимо поставить сервер за устройство NAT, а затем использовать среду IPsec NAT-T, вы можете включить связь, изменив значение реестра на клиентский компьютер VPN и VPN-сервер.

Установите ключ реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule, выполните следующие действия:

  1. Войдите на клиентский Windows Vista в качестве пользователя, который является членом группы администраторов.

  2. Выберите запуск всех > программ, запуск > аксессуаров, тип > regedit, а затем выберите ОК. Если диалоговое окно Управления учетной записью пользователя отображается на экране и подсказок для повышения маркера администратора, выберите Продолжить.

  3. Найдите и выделите следующий подраздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Примечание

    Вы также можете применить значение Допустимый код DWORDContextOnSendRule в microsoft Windows XP Пакет обновления 2 (SP2) на основе VPN-компьютера. Для этого найдите и выберите подкайку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec реестра.

  4. В меню Редактирование указать значение New, а затем выберите значение DWORD (32-bit).

  5. Введите AssumeUDPEncapsulationContextOnSendRule и нажмите кнопку ENTER.

  6. Правой кнопкой мыши предположитьUDPEncapsulationContextOnSendRule, а затем выберите Изменить.

  7. В поле "Данные о значении" введите одно из следующих значений:

    • 0

      Это значение по умолчанию. Если установлено 0, Windows не могут установить ассоциации безопасности с серверами, расположенными за устройствами NAT.

    • 1

      Если установлено 1, Windows могут создавать ассоциации безопасности с серверами, расположенными за устройствами NAT.

    • 2

      Если установлено 2, Windows могут создавать ассоциации безопасности, когда сервер и VPN-клиентский компьютер (Windows Vista или Windows Server 2008) находятся за устройствами NAT.

  8. Выберите ОК, а затем выйти из редактора реестра.

  9. Перезагрузите компьютер.