Как настроить соединение Win -> L2TP+IPsec через NAT?

Question

[Сергей]

Здравствуйте.
Суть задачи:
Два офиса, нужно создать L2TPтуннель между компьютером в сетке первого офиса до роутера второго.
Схема:

win10 (client) -> gateway (1ый офис) -> интернет -> ubiquite router (2ой офис, server)

Проблема:
На винде настроен интерфейс штатными средствами, при попытке выдаёт 809 ошибку. Ошибка распространена, были приняты меры в виде редактирования реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

добавлена опция AssumeUDPEncapsulationContextOnSendRule
значения 1 или 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters

добавлена опция ProhibitIpSec
значение 1
изменена опция AllowL2TPWeakCrypto
значение 1
Без этого не уходят пакеты.
Замечу, что на других компьютерах (домашнем и удалённом в другом городе) операции с реестром не проводились и всё взлетело без нареканий.

Сниффил wireshark на win10 и tcpdump на принимающем ubiquite, всё что уходит всё приходит.

Нашёл костыль запуска, но это бред какой-то, дальше будет непонятная мне магия:
1. На win10 поднимаем виртуалку, в виртуалке win10 (пробовал с линухом, аналогичный успех).
2. На ВМ настраиваем интерфейс, реестр не трогаем.
3. Пытаемся соединиться - соединение успешно.
4. Отключаемся
5. Пытаемся соединиться уже на хостовой win10 - успешно
Если отключиться и через какое-то время попытаться опять, то опять 809 ошибка.
Видимо ESTABLISHED соединение позволяет приконектиться с хостовой винды, но почему без такого костыля не работает неясно.

Подскажите, пожалуйста, куда копать?
Может есть уточняющие вопросы?

UPD
Пользователи mac подключаются без нареканий.
Была переделана политика безопасности согласно статье: https://habr.com/ru/post/210410/
Теперь в логах vpn пишет, что соединение устанавливается, но win10 всё также возвращает 809:

Mar 29 09:29:42 15[IKE] <1> xxx.xxx.54.116 is initiating a Main Mode IKE_SA
Mar 29 09:29:42 06[IKE] <remote-access|1> IKE_SA remote-access[1] established between yyy.yyy.182.90[yyy.yyy.182.90]..xxx.xxx.54.116[192.168.3.122]
Mar 29 09:29:42 07[IKE] <remote-access|1> CHILD_SA remote-access{1} established with SPIs cd95951a_i f7801e3a_o and TS yyy.yyy.182.90/32[udp/l2f] === xxx.xxx.54.116/32[udp/l2f]

Comments

[rPman]

в России провайдеры по своей инициативе могут создавать проблемы с vpn, особенно стандартными или слабо защищенными, индикатором этого является то что у вас не работает в принципе не шифрованный канал а шифрованный работает (правда через какую то магию).

это сильно бесит но бороться с этим уже нет возможности, закрывают порты, сетевые протоколы ведут себя не так как ожидается, с горем пополам нормально работают https/ssh, слышал про проблемы ipsec (но редко, с другой стороны его настроить отдельная головная боль) вот через них и организовывайте.

[Сергей]

wulfdog, поправьте если не прав, но GRE же для pptp, а я про l2tp+ipsec говорю.

Answer 1

[dsv180]

Вы не поверите, 4 дня бился с поднятием VPN на одной WIN10PRO. Никаие правки реестра не помогали, 809 ошибка и все.
Проблема решилась неожиданно, в очередной раз создал новое VPN подключение, но с требованием подключения с максимальным шифрованием, сохранил, а потом отредактировал до необязательного.

Да, VPN создавал через PowerShell

# Create VPN connection
$VpnName = "My IPsec VPN"
$gateway = "vpn.gdeto.tam.ru"
$psk = "1CrutoyParol"

Add-VpnConnection -Name $VpnName -ServerAddress $gateway -L2tpPsk $psk -TunnelType L2tp -EncryptionLevel Required -AuthenticationMethod Chap,MSChapv2 -Force -AllUserConnection -RememberCredential -PassThru

Ошибка 809 ушла, что это было, я не знаю.

Comments

[Сергей]

Спасибо! К сожалению или счастью вопрос лично для меня не актуален и возможности проверить уже нет. Заочно поставлю ваш ответ как решение. Просьба к будущим посетителям: если не работает как надо у вас, то отпишитесь, пожалуйста.

p.s. я не через PS настраивал, а через GUI и, если память не изменяет, игрался с шифрованием и оно так и не завелось.