Что такое L2TP

Недавно столкнулся с проблемой подключения по l2tp протоколу к корпоративной сети, давайте разберем как работает этот протокол.

L2TP — Layer 2 Tunneling Protocol, или протокол туннелирования второго уровня.    За счет аутентификации не только пользователя, но и компьютера, cчитается более безопасным чем PPTP, который может использовать небезопасную аутентификацию MS-CHAP v.2.

Протокол L2TP обеспечивает аутентификацию компьютера за счет проверки сертификата или общего ключа (pre-shared key) и аутентификацию пользователя, что сводит на нет риски компроментации учетных данных пользователя. Шифрование трафика происходит средствами протокола IPsec и использует такие алгоритмы как 3DES, Blowfish, CAST, IDEA, RC5 или AES.

IPsec в свою очередь использует протоколы Authentification header (AH) и Encapsulated security Payload (ESP).  AH обеспечивает проверку подлинности, а ESP обеспечивает конфиденциальность передаваемых данных. Для шифрования используется IKE — internet key exchange то есть обмен ключами.

Всё это может вызывать проблемы при подключении, которые обычно возникают либо из-за NAT, либо из-за закрытых портов.

Самые распространенные ошибки:

Ошибка 789 — «Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.»

Microsoft рекомендует добавить следующее значение в реестре:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

Значение имени: ProhibitIpSec
Тип данных: DWORD(32)
Значение: 1

Отключает политику проверки сертификата.

Ошибка 809 — «Не удалось установить сетевое подключение между компьютером и VPN-сервером, так как удаленный сервер не отвечает»

Microsoft опять же рекомендует создать строковый параметр DWORD(32)

AssumeUDPEncapsulationContextOnSendRule  в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Со значениями

0 — нельзя подключится к серверам за NAT

1 — Можно подключаться к серверам за NAT

2 — И сервер и компьютер находятся за NAT

Я же в свою очередь рекомендую в первую очередь проверить, открыты ли у Вас порты UDP 500 (IKE), 4500 (IKE ESP NAT-T)  и 1701 а также TCP 1701. Если Вы используете антивирусы с брандмауэром (dr.web, kaspersky) то для чистоты эксперимента советую не просто отключить брандмауэр, а полностью разрешить трафик на интерфейсе (allow all) В частности при отключенном брандмауэре dr.web, L2TP подключение выдавало ошибку 789 до тех пор, пока не был полностью разрешен трафик на внешнем интерфейсе.

Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.

 

Пока нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Реклама

Реклама

Tags