如何在 Windows Server 2008 R2 上设置 L2TP IPsec VPN 服务器？

Question

Windows 2008 R2 (SBS) 机器早先设置为运行 PPTP VPN 服务器。出于安全考虑，我确实想用 L2TP/IPsec VPN 服务器替换 PPTP。

服务器位于 NAT 路由器后面，其中创建了 3 个到 Windows 服务器的转发规则：

1. 协议 50 (ESP)
2. 端口 UDP 500 (IKE)
3. UDP 4500 端口（NAT 穿越）

我现在可以看到数据包到达 Windows 服务器并被 Windows 防火墙过​​滤阻止。Windows 事件查看器显示目标端口 500 和协议 17 (UDP) 的事件 ID 为 5152（Windows 筛选平台阻止了数据包。）的条目。

需要采取哪些额外步骤才能在 Windows Server 2008 R2 上为 Mac OS X 客户端启动并运行 L2TP-VPN-Server？

Answer 1

1.检查L2TP端口是否存在

首先检查路由和远程访问（RRAS）中是否真的配置了L2TP端口。

• 单击“开始”，单击“管理工具”，然后单击“路由和远程访问”。
• 展开您的服务器，然后展开端口。
• 如果没有WAN 微型端口 (L2TP)... 的条目，请通过右键单击端口添加它们。

2.检查RAS预共享密钥

确保配置了 RAS 预共享密钥。检查 RAS 预共享密钥安全性也在路由和远程访问 MMC 中完成。

• 通过服务器的上下文菜单打开服务器的属性（右键单击您的服务器名称）。
• 然后打开选项卡安全性。
• 选中“允许 L2TP 连接的自定义 IPsec 策略”框。
• 并填写一个Pre-shared Key。

3.添加Windows防火墙规则

奇怪的是，Windows 2008 R2在路由和 RAS (RRAS) 组中包含用于 L2TP（两次 UDP 1701）和 GRE（用于 PPTP）的默认Windows 防火墙规则，认为微软忘记了（？）为 ESP、IKE 和 NAT 创建默认防火墙规则- T。由于缺少这些 Windows 防火墙规则，您必须自己创建这些规则。

• 单击开始，单击管理工具，然后单击Windows防火墙具有高级安全性。
• 在左窗格中右键单击传入连接的规则，然后从菜单中选择新建规则
• 对于 UDP 500 和 4500，可以选择基于端口的规则类型，对于 ESP（协议 50），选择自定义来创建该规则。