L2TP/IPSec VPN 跨過分享器的設定問題

chichitw

chichitw
個人積分：10分
文章編號：53789330

10分

樓主

2014-12-27 15:28

先把架構畫出來，基本上很單純如下圖所示
L2TP/IPSec VPN 跨過分享器的設定問題

(1) VPN Server 是用 Windows Server 2008 系統內建的
也有勾選"允許為L2TP連線自訂IPSec原則"，並設定預先共用金錀
(2) Router 有設定 Port Forwarding 讓外部的IP可以透過分享器直接連上 Windows Server
Port Forwarding 的設定方式:
PPTP - TCP 1723
L2TP - UDP 1701, 500, 4500
上述這些 port 都導向 192.168.0.50 了
以上都設定好之後，
Vista-A 用PPTP VPN 和 L2TP IPSec VPN 二種連線類型都可以連的上
但 Vista-B 只有PPTP VPN可以連上, L2TP IPSec VPN 怎麼連都不行
看起來好像問題在分享器的部份，但VPN passthrough都有開啓
而且試了二台router都不行(RT-N12, DIR-655)，還是不知道問題在哪

因為小弟實在對VPN了解太少，網上也找不太到有這種情形的
只好po文請教01高手來幫忙解決這個問題
謝謝

2014-12-27 15:28 發佈

文章關鍵字 L2TP/IPSec VPN 分享器設定問題

維尼熊熊

維尼熊熊
個人積分：139分
文章編號：53790063

139分

2樓

2014-12-27 16:20

Router只負責轉向應該不會有問題
你有嘗試過把A電腦移到外網連看看嗎？
例如用手機的網路連入VPN看看

chichitw

chichitw
個人積分：10分
文章編號：53791065

10分

樓主

2014-12-27 17:25

維尼熊熊 wrote:
Router只負責轉...(恕刪)

我試過讓A電腦用router的外部IP來連就會fail了
只能用虛擬IP來連才能成功連上L2TP/IPSec VPN
所以看來只要經過 ROUTER 就會被擋下來

剛才找到一篇跟這個問題似乎有點關係的
好像天生 Windows 就不支援躲在 NAT 後面的 L2TP/IPSec VPN Server
http://support.microsoft.com/kb/926179/zh-tw

維尼熊熊

維尼熊熊
個人積分：139分
文章編號：53798047

139分

4樓

2014-12-28 9:38

Router是否有VPN的功能？
是否已經關掉了？

YAWPYNG

YAWPYNG
個人積分：618分
文章編號：53799642

618分

5樓

2014-12-28 12:09

chichitw wrote:
先把架構畫出來，基本...(恕刪)

先把問題範圍縮小，
把路由器設置DMZ指向WSERVER試試。

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：53802348

230分

6樓

2014-12-28 16:28

正解！
只要新增那道登錄子機碼就可以連線了，
Microsoft Windows Server預設是不允許L2TP/IPSec Server經由NAT轉換。

chichitw wrote:
剛才找到一篇跟這個問題似乎有點關係的
好像天生 Windows 就不支援躲在 NAT 後面的 L2TP/IPSec VPN Server
http://support.microsoft.com/kb/926179/zh-tw

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

chichitw

chichitw
個人積分：10分
文章編號：53813494

10分

樓主

2014-12-29 11:59

HIMALAYAS wrote:
正解！只要新增那道登...(恕刪)

H大您好
我後來在 Client (Win Vista) 和 Server (Win Server 2008)
這二台都設定了那道機碼 (二邊都設定值為2)，也重新開機了
但是還是連不上，不知道那個值是不是設錯了？

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：53815555

230分

8樓

2014-12-29 14:19

For Windows 7/VISTA：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

For Windows XP(sp2)：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

我公司有用Windows Server 2008架設L2TP/IPSec Server，
Client端是Windows 7，一開始也是無法連線，經過修改登錄檔後就可以連線了。
記得要重新啟動電腦後才能生效。

chichitw wrote:
H大您好我後來在 Client (Win Vista) 和 Server (Win Server 2008)這二台都設定了那道機碼 (二邊都設定值為2)，也重新開機了但是還是連不上，不知道那個值是不是設錯了？

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

chichitw

chichitw
個人積分：10分
文章編號：53815797

10分

樓主

2014-12-29 14:32

HIMALAYAS wrote:
For Window...(恕刪)

H大感謝
請問Client和Server 二邊的windows都要設定這個機碼嗎？
另外請問一下Router那邊的Port Forwarding除了我上面寫的幾個PORT之外
還有要設定什麼其他地方嗎？因為我還是連不上耶

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：53816088

230分

10樓

2014-12-29 14:52

SERVER端及Client端都要設定這個登錄機碼，
port就是如你說的500/1701/4500，你連不上時
會有一個錯誤碼，是多少呢？

chichitw wrote:
H大感謝請問Client和Server 二邊的windows都要設定這個機碼嗎？另外請問一下Router那邊的Port Forwarding除了我上面寫的幾個PORT之外還有要設定什麼其他地方嗎？因為我還是連不上耶

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡