Не подключается L2TP VPN

@Prtoy · Регистрация: 01.06.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте.

Не удаётся настроить L2TP VPN на Windows Server 2008 R2 SP1.

Операционка установлена чистая с нуля, добавлена роль маршрутизации и удалённого доступа.
В стандартном брандмауэре открыты порты 1701, 500, 4500, 50 UDP.
На маршрутизаторе извне также проброшены данные порты.
На вкладке "Безопасность" добавлен "Предварительный ключ", поставщик службы - "Windows проверка подлинности", метобы проверки подлинности - стоят галки "Протокол EAP" и "Шифрованная проверка MS-CHAP v2".
На вкладке IPv4 добавлен статический пул адресов 192.168.1.0-192.168.1.10
В конфигурации локальных пользователей и групп нужному пользователю выданы правва на входящие звонки

При попытке подключения к VPN с клиента выдаёт ошибку 789. В реестр на кликнтах добавлял параметры:

Код

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001 
"AllowL2TPWeakCrypto"=dword:00000001

Машину перезагружал.
И всё равно не подключается.

Так же пробовал довольно глупую и бессмысленную вещь - создал VPN-подключение на самом сервере (убрав галку "Использовать общий шлюз" в параметрах IPv4) и попытался подключиться к самому себе - та же ошибка 789 (правки реестра тоже делал и перезагружал систему).

Для проверки переделал роль Маршрутизация и удалённый доступ под PPTP-соединение, создал подключение к самому себе - и подключиться удалось! Значит, скорее всего, проблемы в настройке именно L2TP подключения. Что ещё может быть не так? Прошу помощи.

Добавлено через 53 минуты
UPD
Удалось добиться подключения, но теперь подключение вылетает на стадии проверки безопасности (ошибка 741).

@insect_87 · 26.10.2021, 09:21

"ProhibitIpSec"=dword:00000000

@Prtoy · 26.10.2021, 10:33 **[ТС]**

Сообщение от insect_87

"ProhibitIpSec"=dword:00000000

На клиенте или на сервере?

@insect_87 · 26.10.2021, 10:44

у вас сервер на чем?
этот параметр со значением 0 - разрешает IPSEC. то есть позволит зашифровать L2TP
а со значением 1 - наоборот

@Prtoy · 26.10.2021, 10:52 **[ТС]**

После установки такого значения на сервере не подключается с ошибкой 789

Добавлено через 36 секунд

Сообщение от insect_87

у вас сервер на чем?

В смысле на чём? Windows Server 2008 R2 SP1.

Добавлено через 6 минут
Снова поменял "ProhibitIpSec"=dword:00000001 - теперь вновь доходит до проверки пользователя и пароля, но отваливается с ошибкой 812.
Вот такие настройки сейчас стоят в подключении и в Маршрутизации и доступе

Кликните здесь для просмотра всего текста

@insect_87 · 26.10.2021, 14:08

так у вас авторизация через NPS?

@Prtoy · 26.10.2021, 14:40 **[ТС]**

Сообщение от insect_87

так у вас авторизация через NPS?

Не знаю, как проверить? С этого момента начинаю не понимать...

@insect_87 · 26.10.2021, 16:57

радиус-сервер с ролью NPS поднят?

@Prtoy · 27.10.2021, 08:15 **[ТС]**

Сообщение от insect_87

радиус-сервер с ролью NPS поднят?

Ну вручную я такого точно не поднимал...
Если NPS это Сервер политики сети, то там я немного ковырялся, включал политику и разрешал доступ - но проблему это не решило. Простите, ещё сильн оплаваю в этой теме, так как сталкиваюсь впервые...

@insect_87 · 27.10.2021, 08:46

отключите EAP, если на NPS сертификат не настраивали.
c EAP у вас сначала клиент проверяет сервер авторизации (он же RADIUS, он же NPS, он же Сервер политики сети) по сертификату этого сервера (ну и в зависимости от реализации сервер так же может проверять клиента по сертификату), а потом уже внутри шифрованного TLS туннеля проверяется учетка пользователя (по ms-chap ChallengeResponse)

IPSEC же шифрует L2TP туннель между VPN-сервером и клиентом

Сообщение от Prtoy

Если NPS это Сервер политики сети, то там я немного ковырялся, включал политику и разрешал доступ - но проблему это не решило

какую политику вы там написали, покажите

@Prtoy · 27.10.2021, 09:05 **[ТС]**

Вкладка "Политики" -> "Сетевые политики":

Connections to Microsoft Routing and Remote Access server

Connections to other access servers

После отключения EAP в Маршрутизации и удалённом доступе та же ошибка 741 - Локальный компьютер не поддерживает требуемый тип шифрования данных.
При этом PPTP соединение подключается.

@insect_87 · 27.10.2021, 09:35

1. Если PEAP выделить и нажать Edit, там будет выбран сертификат?
удалите вообще PEAP и EAP-MSCHAPv2
и отключите на сервере VPN
2.

Сообщение от Prtoy

После отключения EAP в Маршрутизации и удалённом доступе та же ошибка 741 - Локальный компьютер не поддерживает требуемый тип шифрования данных.
При этом PPTP соединение подключается.

значит проблема в IPSEC

попробуйте на клиенте выставить
"ProhibitIpSec"=dword:00000000
"AllowL2TPWeakCrypto"=dword:00000000

@Prtoy · 27.10.2021, 09:38 **[ТС]**

Сообщение от insect_87

1. Если PEAP выделить и нажать Edit, там будет выбран сертификат?

Пишет что не удалось найти сертификат.

Сообщение от insect_87

попробуйте на клиенте выставить
"ProhibitIpSec"=dword:00000000
"AllowL2TPWeakCrypto"=dword:00000000

Вечером попробую и отпишусь.

@insect_87 · 27.10.2021, 10:06

Сообщение от Prtoy

Пишет что не удалось найти сертификат.

вот и выключайте его, без сертификата работать не будет

@insect_87 · 27.10.2021, 10:08

пока вот этого достаточно

@insect_87 · 27.10.2021, 10:10

В условиях должны быть группы пользователей, которым разрешено подключаться по VPN.
Вы всем по дефолту разрешаете подключаться по VPN?

@Prtoy · 27.10.2021, 11:14 **[ТС]**

Сообщение от insect_87

Вы всем по дефолту разрешаете подключаться по VPN?

Нет, выбранным пользователям. У них на вкладке Входящие звонки разрешён доступ. У остальных нет. Или получается, что согласно этой политике, могут все?

@insect_87 · 27.10.2021, 11:34

https://forsenergy.com/ru-ru/r... 76a8c0.htm

@Prtoy · 27.10.2021, 11:51 **[ТС]**

Сообщение от insect_87

попробуйте на клиенте выставить
"ProhibitIpSec"=dword:00000000
"AllowL2TPWeakCrypto"=dword:00000000

Теперь не соединяется с ошибкой 789.
В политиках выставил как у вас на скриншоте.

@insect_87 · 27.10.2021, 11:59

на vpn-сервере тоже eap отключите

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	27.10.2021, 09:38 [ТС]	13
	Сообщение от insect_87 1. Если PEAP выделить и нажать Edit, там будет выбран сертификат? Пишет что не удалось найти сертификат. Сообщение от insect_87 попробуйте на клиенте выставить "ProhibitIpSec"=dword:00000000 "AllowL2TPWeakCrypto"=dword:00000000 Вечером попробую и отпишусь. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 11:34	18
	https://forsenergy.com/ru-ru/r... 76a8c0.htm 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
		1
	Server 2008 Не подключается L2TP VPN 25.10.2021, 13:48. Показов 4806. Ответов 32 Метки нет (Все метки) Здравствуйте. Не удаётся настроить L2TP VPN на Windows Server 2008 R2 SP1. Операционка установлена чистая с нуля, добавлена роль маршрутизации и удалённого доступа. В стандартном брандмауэре открыты порты 1701, 500, 4500, 50 UDP. На маршрутизаторе извне также проброшены данные порты. На вкладке "Безопасность" добавлен "Предварительный ключ", поставщик службы - "Windows проверка подлинности", метобы проверки подлинности - стоят галки "Протокол EAP" и "Шифрованная проверка MS-CHAP v2". На вкладке IPv4 добавлен статический пул адресов 192.168.1.0-192.168.1.10 В конфигурации локальных пользователей и групп нужному пользователю выданы правва на входящие звонки При попытке подключения к VPN с клиента выдаёт ошибку 789. В реестр на кликнтах добавлял параметры: Код [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent] "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Rasman\Parameters] "ProhibitIpSec"=dword:00000001 "AllowL2TPWeakCrypto"=dword:00000001 Машину перезагружал. И всё равно не подключается. Так же пробовал довольно глупую и бессмысленную вещь - создал VPN-подключение на самом сервере (убрав галку "Использовать общий шлюз" в параметрах IPv4) и попытался подключиться к самому себе - та же ошибка 789 (правки реестра тоже делал и перезагружал систему). Для проверки переделал роль Маршрутизация и удалённый доступ под PPTP-соединение, создал подключение к самому себе - и подключиться удалось! Значит, скорее всего, проблемы в настройке именно L2TP подключения. Что ещё может быть не так? Прошу помощи. Добавлено через 53 минуты UPD Удалось добиться подключения, но теперь подключение вылетает на стадии проверки безопасности (ошибка 741). 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	26.10.2021, 09:21	2
	"ProhibitIpSec"=dword:00000000 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	26.10.2021, 10:33 [ТС]	3
	Сообщение от insect_87 "ProhibitIpSec"=dword:00000000 На клиенте или на сервере? 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	26.10.2021, 10:44	4
	у вас сервер на чем? этот параметр со значением 0 - разрешает IPSEC. то есть позволит зашифровать L2TP а со значением 1 - наоборот 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	26.10.2021, 10:52 [ТС]	5
	После установки такого значения на сервере не подключается с ошибкой 789 Добавлено через 36 секунд Сообщение от insect_87 у вас сервер на чем? В смысле на чём? Windows Server 2008 R2 SP1. Добавлено через 6 минут Снова поменял "ProhibitIpSec"=dword:00000001 - теперь вновь доходит до проверки пользователя и пароля, но отваливается с ошибкой 812. Вот такие настройки сейчас стоят в подключении и в Маршрутизации и доступе Кликните здесь для просмотра всего текста 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	26.10.2021, 14:08	6
	так у вас авторизация через NPS? 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	26.10.2021, 14:40 [ТС]	7
	Сообщение от insect_87 так у вас авторизация через NPS? Не знаю, как проверить? С этого момента начинаю не понимать... 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	26.10.2021, 16:57	8
	радиус-сервер с ролью NPS поднят? 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	27.10.2021, 08:15 [ТС]	9
	Сообщение от insect_87 радиус-сервер с ролью NPS поднят? Ну вручную я такого точно не поднимал... Если NPS это Сервер политики сети, то там я немного ковырялся, включал политику и разрешал доступ - но проблему это не решило. Простите, ещё сильн оплаваю в этой теме, так как сталкиваюсь впервые... 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 08:46	10
	отключите EAP, если на NPS сертификат не настраивали. c EAP у вас сначала клиент проверяет сервер авторизации (он же RADIUS, он же NPS, он же Сервер политики сети) по сертификату этого сервера (ну и в зависимости от реализации сервер так же может проверять клиента по сертификату), а потом уже внутри шифрованного TLS туннеля проверяется учетка пользователя (по ms-chap ChallengeResponse) IPSEC же шифрует L2TP туннель между VPN-сервером и клиентом Сообщение от Prtoy Если NPS это Сервер политики сети, то там я немного ковырялся, включал политику и разрешал доступ - но проблему это не решило какую политику вы там написали, покажите 0

	27.10.2021, 11:59

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	27.10.2021, 09:05 [ТС]	11
	Вкладка "Политики" -> "Сетевые политики": Connections to Microsoft Routing and Remote Access server Connections to other access servers После отключения EAP в Маршрутизации и удалённом доступе та же ошибка 741 - Локальный компьютер не поддерживает требуемый тип шифрования данных. При этом PPTP соединение подключается. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 09:35	12
	1. Если PEAP выделить и нажать Edit, там будет выбран сертификат? удалите вообще PEAP и EAP-MSCHAPv2 и отключите на сервере VPN 2. Сообщение от Prtoy После отключения EAP в Маршрутизации и удалённом доступе та же ошибка 741 - Локальный компьютер не поддерживает требуемый тип шифрования данных. При этом PPTP соединение подключается. значит проблема в IPSEC попробуйте на клиенте выставить "ProhibitIpSec"=dword:00000000 "AllowL2TPWeakCrypto"=dword:00000000 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 10:06	14
	Сообщение от Prtoy Пишет что не удалось найти сертификат. вот и выключайте его, без сертификата работать не будет 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 10:08	15
	пока вот этого достаточно Миниатюры 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 10:10	16
	В условиях должны быть группы пользователей, которым разрешено подключаться по VPN. Вы всем по дефолту разрешаете подключаться по VPN? 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	27.10.2021, 11:14 [ТС]	17
	Сообщение от insect_87 Вы всем по дефолту разрешаете подключаться по VPN? Нет, выбранным пользователям. У них на вкладке Входящие звонки разрешён доступ. У остальных нет. Или получается, что согласно этой политике, могут все? 0

@Prtoy 3 / 3 / 3 Регистрация: 01.06.2016 Сообщений: 307
	27.10.2021, 11:51 [ТС]	19
	Сообщение от insect_87 попробуйте на клиенте выставить "ProhibitIpSec"=dword:00000000 "AllowL2TPWeakCrypto"=dword:00000000 Теперь не соединяется с ошибкой 789. В политиках выставил как у вас на скриншоте. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	27.10.2021, 11:59	20
	на vpn-сервере тоже eap отключите 0