@Programmierus

Почему ещё (даже после всех настроек), зачастую, может не работать L2TP-VPN под Windows 7?

Есть L2TP VPN-Server на Windows 2012. Работает и корректно настроен.

Есть LAN из которой к этому серверу подключаются различные клиенты (т.е. "транспортные" условия одинаковые).
  • Все клиенты с Windows 10 работают отлично
  • Все клиенты с OS X работают отлично
  • Один клиент с Windows 7 работает, а два других - нет. Настроены идентично.

Ошибка при соединении:
Error 809: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g., firewalls, NAT, Router etc.) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

Что уже сделано:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule (попробованы значения 2 и 0)
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\ProhibitIpSec (опробовано 0 и 1)
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto (опробовано 0 и 1)
  • Windows Firewall полностью отключать и добавлять правила для UDP 500, 1701, 4500
  • Служба "IKE and AuthIP IPsec Keying Modules" запущена и запускается автоматически
  • Служба "IPsec Policy Agent" запущена и запускается автоматически
  • Xbox Live Networking в Windows 7 нет (оно иногда мешает в Windows 10)

Ещё идеи? :-)
  • Вопрос задан
  • 5393 просмотра
Пригласить эксперта
Ответы на вопрос 2
Запросто может быть провайдер с его блокировками
Ответ написан
vesper-bot
@vesper-bot
Любитель файрволлов
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule (попробованы значения 2 и 0) - оставить в 2, в любом случае клиент за натом, и если вдруг сервер тоже за натом, то без двух здесь не заведется в принципе.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\ProhibitIpSec (опробовано 0 и 1) - оставить в 0, без шифрования глухо, а в IPsec оно как раз хорошее - MPPE в L2TP мягко скажем слабое по сегодняшним стандартам.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto (опробовано 0 и 1) - должно быть нерелевантно, но зависит от настроек сервера.
Windows Firewall полностью отключать и добавлять правила для UDP 500, 1701, 4500 - нерелевантно, со стороны клиента соединение исходящее, политика по умолчанию разрешает их.

Дальше - запустить VPN на том ПК с семеркой, который подключается, потом поднять сниффер на роутере и собирать обмен пакетами между вторым компом и сервером. Есть подозрение, что роутер некорректно реализует обработку NAT-T для L2TP и транслирует пакеты от второго клиента тоже в порт 4500, или выбивая его, или просто направляя ответ для второго клиента первому, возможно, имеет смысл отключить на нем отдельную обработку L2TP/IPsec passthrough и проверить работу всех клиентов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы