Если при подключении VPN у вас вылетела ошибка с текстом- «Не удается подключиться к VPN-подключение. Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает.» в этой статья я расскажу как решить эту проблему.
В прошлой статья я уже рассказывал (Ошибка при Попытке L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности ) , что в новом 2022 году у меня стали часто появляться жалобы от сотрудников которые не могли подключиться по VPN. Оборудование Mikrotik я не трогал в последние время я не трогал поэтому грешу на обновления Windows.
Но давайте перейдем к делу и я вам расскажу из-за чего может быть ошибка при подключении VPN с текстом:
Не удается подключиться к VPN-подключение. Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств(таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений.
Ошибка VPN 809 для L2TP/IPSec в Windows за NAT
Как оказалось, проблема уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. Встроенный VPN-клиент Windows по умолчанию не поддерживает подключения L2TP/IPSec через NAT. Это связано с тем, что IPSec использует ESP (Инкапсулирующую полезную нагрузку безопасности) для шифрования пакетов, а ESP не поддерживает PAT (Преобразование адресов портов). Если вы хотите использовать IPSec для связи, корпорация Майкрософт рекомендует использовать общедоступные IP-адреса на VPN-сервере.
Но есть и обходной путь. Вы можете исправить этот недостаток, включив поддержку протокола NAT-T, который позволяет инкапсулировать пакеты ESP 50 в пакеты UDP на порту 4500. NAT-T включен по умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.
Если VPN-сервер L2TP/IPSec находится за устройством NAT, для правильного подключения внешних клиентов через NAT необходимо внести некоторые изменения в реестр как на стороне сервера, так и на стороне клиента, чтобы разрешить инкапсуляцию пакетов UDP для поддержки L2TP и NAT-T в IPSec.
Для этого делает след:
- открываем реестр
- ищем ветку реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent - записываем параметр AssumeUDPEncapsulationContextOnSendRule со значением 2
- 0 – (значение по умолчанию) предполагает, что сервер подключен к Интернету без NAT;
- 1 – VPN-сервер находится за устройством NAT ;
- 2 — и VPN-сервер, и клиент находятся за NAT.
- открываем ветку
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters - записываем ProhibitIPSec со значение 0
- перезагружаем компьютер.
