Windows 10 L2TP VPN 连接问题

Question

我有一个已配置为连接到 L2TP VPN 的 Windows 10 客户端。

为了使连接正常工作，我必须添加"AssumeUDPEncapsulationContextOnSendRule"注册表项，然后完全禁用 Windows 防火墙——VPN 以这种方式完美连接。

但是，我无法让 VPN 与启用的Windows 防火墙连接，我真的需要保持启用 Windows 防火墙并能够连接到 L2TP VPN。

我也允许...

• 协议50(ESP) 输入和输出
• UDP 1701, 4500,500进出

但是，只有当我完全禁用 Windows 防火墙而不启用它时，VPN 仍会连接。

问题：是否建议提供任何帮助或指导来进一步解决此问题？

Answer 1

无法让 Windows 连接到 L2TP VPN

1. 首先，如果 VPN 服务器在NAT 之后，而 VPN 客户端在NAT 之后，这可能会导致问题，因为显然“默认情况下，Windows 不支持 IPSec 网络地址转换 (NAT) 穿越 (NAT-T) 安全关联到服务器位于 NAT 设备后面”，这仍然适用于 Windows 10。

   微软给出的建议是“如果必须将服务器置于 NAT 设备后面，然后使用 IPsec NAT-T 环境，则可以通过更改VPN 客户端计算机和 VPN 服务器上的注册表值来启用通信。”

   PowerShell（建议修复）

   注意： 您必须在管理员提升的 PowerShell 会话中运行它。

   ## -- Add registry key to support for L2TP communications via double NAT
   Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;
   

   重要提示： 您必须重新启动应用此功能的机器才能生效。

   AssumeUDPEncapsulationContextOnSendRule使用注册表子项2下的值创建和配置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent注册表项，并将其定义为DWORD值。

   • 值2配置 Windows，以便它可以在 Windows Server 和 Windows VPN 客户端计算机都位于 NAT 设备之后时建立安全关联。

   来源

   PowerShell（删除修复）

   注意： 您必须在管理员提升的 PowerShell 会话中运行它。

   ## -- Remove registry key for L2TP communications support via double NAT
   Remove-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" –Force;
   

   重要提示： 您必须重新启动应用此功能的机器才能生效。

如果不是双 NAT 问题，则 . . .

2. 似乎在某些配置中，端口1701同时用于 TCP 和 UDP，而不仅仅是 UDP。调整您的规则以允许 TCP 端口1701通过，看看是否可以解决问题。

   第二层隧道协议 (L2TP)使用 TCP 端口 1701，是点对点隧道协议的扩展。L2TP 通常与 IPSec 一起使用以建立虚拟专用网络 (VPN)。

   来源

3. 此外，确保您的Windows防火墙“允许”规则（S）为适用的TCP和UDP端口（以及任何相关的VPN客户端软件的exe等）从Advanced选项卡的所有private，domain以及public配置文件检查。

   

4. 经过进一步研究，我不太清楚其中一些是否适用于客户端而不是 L2TP 的 VPN 服务器端，但一些建议表明实际上允许 UDP 端口50。

5. 还有另一篇文章也讨论ESP (value 50) <- Used by IPSec data path了 IPSec 协议和端口使用的端口。

   • 请记住，我不确定 #4 和 #5 是否都适用于连接客户端，但需要考虑进一步调查并为相关协议和/或端口开放额外访问。

进一步故障排除

要进一步排除故障，请考虑在禁用 Windows 防火墙的情况下运行Wireshark并成功建立 VPN 连接并保存该跟踪。然后启用 Windows 防火墙，运行新的跟踪，尝试 VPN 连接，并保存该跟踪。

现在，您可以查看成功和不成功的 L2TP VPN 连接跟踪、过滤并查看数据包级别的实际情况，以确定您可能需要进一步允许通过 Windows 防火墙的内容。

配套资源

• 如何在 Windows 和 Windows Server 中的 NAT-T 设备后面配置 L2TP/IPsec 服务器
• Windows 10 L2TP/IPsec 手动设置说明
• 什么是 NAT 防火墙，它是如何工作的？
• 设置项属性
• 删除项目属性
• L2TP 端口

• 了解防火墙配置文件

• 二层隧道协议