Недавно столкнулся с проблемой подключения по l2tp протоколу к корпоративной сети, давайте разберем как работает этот протокол.
L2TP – Layer 2 Tunneling Protocol, или протокол туннелирования второго уровня. За счет аутентификации не только пользователя, но и компьютера, cчитается более безопасным чем PPTP, который может использовать небезопасную аутентификацию MS-CHAP v.2.
Протокол L2TP обеспечивает аутентификацию компьютера за счет проверки сертификата или общего ключа (pre-shared key) и аутентификацию пользователя, что сводит на нет риски компроментации учетных данных пользователя. Шифрование трафика происходит средствами протокола IPsec и использует такие алгоритмы как 3DES, Blowfish, CAST, IDEA, RC5 или AES.
IPsec в свою очередь использует протоколы Authentification header (AH) и Encapsulated security Payload (ESP). AH обеспечивает проверку подлинности, а ESP обеспечивает конфиденциальность передаваемых данных. Для шифрования используется IKE – internet key exchange то есть обмен ключами.
Всё это может вызывать проблемы при подключении, которые обычно возникают либо из-за NAT, либо из-за закрытых портов.
Самые распространенные ошибки:
Ошибка 789 – “Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.”
Microsoft рекомендует добавить следующее значение в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
Значение имени: ProhibitIpSec
Тип данных: DWORD(32)
Значение: 1
Отключает политику проверки сертификата.
Ошибка 809 – “Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает”
Microsoft опять же рекомендует создать строковый параметр DWORD(32)
AssumeUDPEncapsulationContextOnSendRule в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Со значениями
0 – нельзя подключится к серверам за NAT
1 – Можно подключаться к серверам за NAT
2 – И сервер и компьютер находятся за NAT
Я же в свою очередь рекомендую в первую очередь проверить, открыты ли у Вас порты UDP 500 (IKE), 4500 (IKE ESP NAT-T) и 1701 а также TCP 1701. Если Вы используете антивирусы с брандмауэром (dr.web, kaspersky) то для чистоты эксперимента советую не просто отключить брандмауэр, а полностью разрешить трафик на интерфейсе (allow all) В частности при отключенном брандмауэре dr.web, L2TP подключение выдавало ошибку 789 до тех пор, пока не был полностью разрешен трафик на внешнем интерфейсе.
Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.
Добавить комментарий