Как настроить соединение Win -> L2TP+IPsec через NAT?

Здравствуйте.
Суть задачи:
Два офиса, нужно создать L2TPтуннель между компьютером в сетке первого офиса до роутера второго.
Схема:
win10 (client) -> gateway (1ый офис) -> интернет -> ubiquite router (2ой офис, server)

Проблема:
На винде настроен интерфейс штатными средствами, при попытке выдаёт 809 ошибку. Ошибка распространена, были приняты меры в виде редактирования реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

добавлена опция AssumeUDPEncapsulationContextOnSendRule
значения 1 или 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters

добавлена опция ProhibitIpSec
значение 1
изменена опция AllowL2TPWeakCrypto
значение 1
Без этого не уходят пакеты.
Замечу, что на других компьютерах (домашнем и удалённом в другом городе) операции с реестром не проводились и всё взлетело без нареканий.

Сниффил wireshark на win10 и tcpdump на принимающем ubiquite, всё что уходит всё приходит.

Нашёл костыль запуска, но это бред какой-то, дальше будет непонятная мне магия:
1. На win10 поднимаем виртуалку, в виртуалке win10 (пробовал с линухом, аналогичный успех).
2. На ВМ настраиваем интерфейс, реестр не трогаем.
3. Пытаемся соединиться - соединение успешно.
4. Отключаемся
5. Пытаемся соединиться уже на хостовой win10 - успешно
Если отключиться и через какое-то время попытаться опять, то опять 809 ошибка.
Видимо ESTABLISHED соединение позволяет приконектиться с хостовой винды, но почему без такого костыля не работает неясно.

Подскажите, пожалуйста, куда копать?
Может есть уточняющие вопросы?

UPD
Пользователи mac подключаются без нареканий.
Была переделана политика безопасности согласно статье: https://habr.com/ru/post/210410/
Теперь в логах vpn пишет, что соединение устанавливается, но win10 всё также возвращает 809:

Mar 29 09:29:42 15[IKE] <1> xxx.xxx.54.116 is initiating a Main Mode IKE_SA
Mar 29 09:29:42 06[IKE] <remote-access|1> IKE_SA remote-access[1] established between yyy.yyy.182.90[yyy.yyy.182.90]..xxx.xxx.54.116[192.168.3.122]
Mar 29 09:29:42 07[IKE] <remote-access|1> CHILD_SA remote-access{1} established with SPIs cd95951a_i f7801e3a_o and TS yyy.yyy.182.90/32[udp/l2f] === xxx.xxx.54.116/32[udp/l2f]
  • Вопрос задан
  • 621 просмотр
Решения вопроса 1
dsv180
@dsv180
Вы не поверите, 4 дня бился с поднятием VPN на одной WIN10PRO. Никаие правки реестра не помогали, 809 ошибка и все.
Проблема решилась неожиданно, в очередной раз создал новое VPN подключение, но с требованием подключения с максимальным шифрованием, сохранил, а потом отредактировал до необязательного.

Да, VPN создавал через PowerShell
# Create VPN connection
$VpnName = "My IPsec VPN"
$gateway = "vpn.gdeto.tam.ru"
$psk = "1CrutoyParol"

Add-VpnConnection -Name $VpnName -ServerAddress $gateway -L2tpPsk $psk -TunnelType L2tp -EncryptionLevel Required -AuthenticationMethod Chap,MSChapv2 -Force -AllUserConnection -RememberCredential -PassThru

Ошибка 809 ушла, что это было, я не знаю.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы