Václav Krejčí
IT a bezpečnost bez starostí
Napsal uživatel vaclav.krejci dne St, 08.09.2021 - 16:33

Nastavení L2TP/IPSec VPN pro Windows za NATem

Jak nakonfigurovat L2TP VPN je na internetu nespočet návodů. Z těch lepších je třeba ten na babcuvpisecek.comodkaz. Občas se ale stane, že máte VPN nastavenou dobře, v logu se objeví i pokus o komunikaci, ale pak se hodí do stavu terminated na straně serveru a strana klienta tvrdí, že je server nedostupný. V tom případě může být problém kolem NATu. Konkrétně na NAT-T. U Mikrotiku mi to třeba vyhazovalo v logu "isakm-sa deleted"

NAT-T znamená Network address translator traversal a česky to lze přeložit jako průchod skrze NAT. Je to způsob navázání komunikace po IP přes síťové prvky, která provádějí NAT - tedy překlad IP adres. NAT se používá z důvodu nedostatku IPv4 adres, takže zákazník obdrží na svůj přechodový router od poskytovatele jednu veřejnou IP adresu a všem svým zařízení uvnitř sítě (počítače, servery a pod) pak nastaví privátní IP adresu, která z internetu není dostupná napřímo, ale právě přes NAT. Pro běžnou komunikaci z vnitřní sítě ven slouží dynamický NAT (maškaráda) a právě zde není možné naopak inicializovat spojení z internetu na zařízení uvnitř sítě bez nějaké další spolupráce se správcem IT a nastavení konkrétních NATovacích pravidel. Pro VPNky, IP telefonii nebo různé peer-to-peer služby slouží právě implementace NAT-T. Problémem NAT-T je ovšem to, že vlastně částečně obchází nějaké bezpečnostní nastavení a jde o funkci ne zcela standardizovanou. Každý výrobce ji implementuje trochu jinak (jsou proprietární) a mnohdy bez dokumentace.

Možná proto operační systémy Windows ve výchozím nastavení nepodporují NAT-T pro IPsec na VPN servery, které jsou umístěny za NAT. Podporu lze zapnout úpravou registru.

Otevřete Editor registru (regedit.exe) a proklikejte se touto strukturou:

Počítač\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Přidejte novou položku

Hodnota DWORD (32 bitová)
AssumeUDPEncapsulationContextOnSendRule
Údaj hodnoty: 2

Nastavení L2TP/IPSec VPN pro Windows za NATem

Údaj hodnoty může mít tyto hodnoty

0 - je výchozí hodnota, Windows nemůže navázat spojení se zařízením za NAT
1 - Windows se může připojit k zařízení za NAT, ale sám nemůže být za NAT
2 - klient i server mohou být oba za NAT

Restartujte PC a vyzkoušejte znovu VPN.

 

Uvedený řetězec v registrech platí pro Windows 7, Vista, Windows 8, Windows 10 a Windows Server. Pro starší OS Windows zadejte totožnou položku do registru v tomto řetezci

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

Více informací je pak přímo v dokumentaci na stránkách Microsoftuodkaz.

 

>> Líbil se Vám článek? Ohodnoťte mě <<

 

Kategorie

Ohodnoťte mě

Václav Krejčí - Počítačové a datové sítě, kamery a zabezpečovací systémy na Firmy.cz

Nabízené služby

Naučte se

Půjčení přívěsného vozíku

Využijte možnosti výhodného pronájmu přívěsného vozíku s nosností 460 kg.

2008-2023 © Václav Krejčí