我们的 L2TP 服务器(运行 Windows 2008 RRAS)位于 NAT 防火墙后面。我已经验证过它正在通过 NAT-T。防火墙规则都已正确设置以通过 GRE、IKE、L2TP,并且服务器上没有运行自定义 IPSEC 策略。L2TP 使用 PSK 而不是证书。奇怪的是,我的 Windows 7 和 8 台式机无法成功连接,但我的 iPhone 和 iPad 设备可以成功连接。我想不出还有什么可以检查的。
还请注意,我们可以很好地使用 PPTP 和 SSTP。
我有失败和成功连接的防火墙和 netmon 日志。我见过很多 iOS 设备无法连接而完整台式机可以连接的情况,但这种情况恰恰相反,我在互联网上找不到任何线索。
更新:我甚至用全新安装的 Windows Server 2012 替换了有问题的服务器,但仍然存在同样的问题。
答案1
您是否对 Windows 机器进行了注册表更改以使其位于 NAT 之后?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
如果您更喜欢使用“REG ADD”:
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2
Microsoft 的这篇文章中提到了注册表更改:https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-l2tp-ipsec-server-behind-nat-t-device
请注意,此注册表值曾被 Windows 10“功能更新”删除。如果您能够通过自动机制(如组策略首选项注册表设置)强制执行该设置,您将获得更一致的结果。
答案2
我也遇到过同样的问题,结果发现本地 Windows 防火墙阻止了连接。本指南帮助我添加了正确的端口。
基本上你需要打开 UDP 端口“50、500、4500”
https://www.magnumvpn.com/setup-windows-10-firewall-l2tp.html
答案3
我也遇到了同样的问题。“PC 未通过 L2TP 连接,但所有便携式设备均已连接”
- 太搞笑了(笑自己错过了这个)...
- 如果您的 LAN 上有两个以上的 ADS/域,则必须“regedit”(用于 AssumeUDPEncapsulationContextOnSendRule 条目)和“mmc”(用于本地计算机上的 IP 安全策略条目)所有这些 ADS/域,而不仅仅是一个。VPN svr 可能会随时默认使用其中任何一个来匹配所需的 IPsec 和密钥信息。
- (旁注:PC L2TP 一开始运行良好,但我想在 VPN Svr 重新启动并进行一些额外配置时它停止了工作。VPN Svr 开始检查其他域 Svr,并且不再工作。添加 regedit 和 mmc 后它就正常工作了。)
这是一篇旧帖子,但发布后就能解决我的问题。