NATの背後でのL2TP/IPsec VPN接続の構成、VPNエラーコード809

iOSでPPTPVPNサポートを無効にしたため、クライアントの1人がWindows Server2012R2を実行しているVPNサーバーをPPTPからL2TP/IPSecに再構成することにしました。 LAN内の内部VPNクライアントは問題なくVPNサーバーに接続しますが、外部WindowsクライアントはL2TPVPNサーバーとの接続を確立しようとするとエラー809を受け取ります。

L2TP-IPsec-VPN-Server.hostnameに接続できません

リモートサーバーが応答していないため、コンピューターとVPNサーバー間のネットワーク接続を確立できませんでした。これは、コンピューターとリモートサーバー間のネットワークデバイス（ファイアウォール、NAT、ルーターなど）の1つがVPN接続を許可するように構成されていないことが原因である可能性があります。問題の原因となっている可能性のあるデバイスを特定するには、管理者またはサービスプロバイダーに連絡してください。

他のWindowsバージョンでは、接続エラー 800 、 794 または809 同じ問題を示している可能性があります。

VPNサーバーはNATの背後にあり、ルーターはL2TPポートを転送するように構成されていることに注意してください。

• UDP 1701 —レイヤー2フォワーディングプロトコル（L2F）およびレイヤー2トンネリングプロトコル（L2TP）
• UDP 500
• UDP 4500 NAT-T –IPSecネットワークアドレス変換トラバーサル
• プロトコル50ESP

これらのポートは、VPN接続のWindowsファイアウォールルールでも開いています。それらは、クラシック構成が使用されます。組み込みのWindowsVPNクライアントが接続に使用されます。

PPTPを介して同じVPNサーバーに接続すると、接続は正常に確立されます。

NATの背後にあるWindows上のL2TP/IPSecのVPNエラー809

結局のところ、この問題はすでにわかっており、https：//support.microsoft.com/en-us/kb/926179の記事で説明されています。 Windowsの組み込みVPNクライアントは、デフォルトではNATを介したL2TP/IPsec接続をサポートしていません。これは、IPsecが ESPを使用するためです。 （セキュリティペイロードのカプセル化）パケットを暗号化するため、ESPは PATをサポートしていません （ポートアドレス変換）。通信にIPSecを使用する場合は、VPNサーバーでパブリックIPアドレスを使用することをお勧めします。

ただし、回避策もあります。 NAT-T のサポートを有効にすることで、この欠点を修正できます。 プロトコル。これにより、ESP 50パケットをポート4500のUDPパケットにカプセル化できます。NAT-Tは、Windowsを除くほとんどすべてのオペレーティングシステム（iOS、Android、Linux）でデフォルトで有効になっています。

L2TP / IPsec VPNサーバーがNATデバイスの背後にある場合、NATを介して外部クライアントを正しく接続するには、サーバー側とクライアント側の両方でレジストリに変更を加えて、L2TPとNAT-TのUDPパケットカプセル化を許可する必要があります。 IPsecでのサポート。

• レジストリエディタを開きます（regedit.exe ）そして次のレジストリキーに移動します：
  • Windows 10 / 8.1/VistaおよびWindowsServer2016 / 2012R2 / 2008R2 — HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ PolicyAgent
  • Windows XP / Windows Server 2003 — HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ IPsec
• DWORDを作成します AssumeUDPEncapsulationContextOnSendRuleという名前のパラメーター および値2; 注 。可能なAssumeUDPEncapsulationContextOnSendRule値は次のとおりです。
  • 0 –（デフォルト値）は、サーバーがNATなしでインターネットに接続されていることを示します。
  • 1 –VPNサーバーはNATデバイスの背後にあります;
  • 2 —VPNサーバーとクライアントの両方がNATの背後にあります。
• コンピュータを再起動して、VPNトンネルが正常に確立されていることを確認してください

[アラート]WindowsVPNサーバーとクライアントの両方がNATの背後にある場合は、両方のデバイスでこの設定を変更する必要があります。

また、PowerShellコマンドレットを使用して、レジストリに変更を加えることができます。

Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

NAT-Tサポートを有効にすると、クライアントからNAT（ダブルNATを含む）を介してVPNサーバーに正常に接続できるようになります。

場合によっては、VPNが正しく機能するために、TCP 1701の追加のファイアウォールルールを有効にする必要があります（一部のL2TP実装では、このポートはUDP 1701と組み合わせて使用​​されます）。 NAT-Tは、以前のWindows 10ビルド（10240、1511、1607など）では正しく機能しませんでした。古いバージョンのWindowsを使用している場合は、Windows10ビルドをアップグレードすることをお勧めします。

同じLANからの複数のL2TPVPN接続

もう1つの興味深いVPNバグがあります。ローカルネットワークに複数のWindowsコンピューターがある場合、外部L2TP /IPsecVPNサーバーへの複数の同時接続を確立することはできません。別のコンピューターから（別のデバイスからのアクティブなVPNトンネルを使用して）同じVPNサーバーに接続しようとすると、エラーコード809または789が表示されます。

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

興味深いことに、この問題はWindowsデバイスでのみ発生します。同じローカルネットワーク上のLinux/MacOS / Androidデバイスでは、そのような問題はありません。複数のデバイスから同時にVPNL2TPサーバーに簡単に接続できます。

TechNetによると、この問題はWindowsでのL2TP / IPsecクライアントの誤った実装に関連しています（長年修正されていません）。

このバグを修正するには、 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ RasMan \ Parametersの2つのレジストリパラメータを変更する必要があります。 レジストリキーを押してコンピュータを再起動します：

• AllowL2TPWeakCrypto – 00000001に変更します （弱い暗号化アルゴリズムを許可します。L2TP/ IPsecの場合、MD5およびDESアルゴリズムが使用されます）;
• ProhibitIPSec – 00000000に変更します （IPsec暗号化を有効にします。これは、一部のVPNクライアントまたはシステムツールによって無効になることがよくあります）。

次のコマンドを実行して、これらのレジストリの変更を変更して適用します。

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

これにより、共有パブリックIPアドレスを介したWindowsでの同時L2TP / IPsec VPN接続のサポートが可能になります（WindowsXPからWindows10までのすべてのバージョンで機能します）。