Konfigurace l2tp/ipsec za natem pro Windows 10

Zatímco nastavení klienta l2tp v MacOS a iOS je rychlé, jednoduché a okamžitě funkční, ve Windows je potřeba upravit registry.

Otevřete si registry (Regedit) a najděte větev Počítač\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent. Přidejte novou hodnotu DWORD a pojmenujte ji AssumeUDPEncapsulationContextOnSendRule. Nastavte této položce hodnotu na 2.

0 (default) = není povoleno se připojit k serverům, které jsou za NAT-T
1 = je povoleno se připojit k serverům, které jsou za NAT-T, nicméně klienti NEMOHOU být za NAT-T
2 = klient i server mohou být za NAT-T

Restartujte počítač a připojte se k VPN serveru pomocí vašeho L2TP/IPsec připojení.

Windows Vista a Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent, který se bude jmenovat AssumeUDPEncapsulationContextOnSendRule

Windows XP se SP2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec, který se bude jmenovat AssumeUDPEncapsulationContextOnSendRule

Windows XP bez SP či se SP1, Windows 2000


Není třeba vytvářet výše zmíněný záznam v registry, za to je třeba zkontrolovat, zdali je na počítači klienta nainstalován hotfix KB818043

Způsob autentizace počítače v IPSec protokolu

Pokud jsou použité PSK (pre-shared keys), je nutné jediné – znát je 🙂 V případě využití PKI nastávají obvykle tyto zádrhele:

  • VPN klient musí důvěřovat certifikátu serveru. Nejčastěji jde o nedůvěru v použitou Root CA.
  • VPN klient musí mít vydaný certifikát typu IP security IKE (zkráceně IpSec).
  • klientský certifikát musí být naimportován v úložišti počítače (Local Computer), nikoliv v úložišti uživatele (Current User)!
  • klientský certifikát musí být naimportován včetně privátního klíče
  • VPN server musí důvěřovat certifikátu, který mu předkládá VPN klient.

Způsob PPP uživatelské autentizace použitý v L2TP tunelu

V případě autentizace uživatelů platí pravidla obdobná již zmíněným – certifikát musí být naimportován v úložišti uživatele, musí obsahovat privátní klíč a VPN server musí důvěřovat tomuto uživatelskému certifikátu.

Pokud se používá jméno/heslo, nastavuje se zpravidla MS-CHAP v2 a minimálně Require encryption (disconnect if server declines).

V případě, kdy se pro autentizaci uživatele používá systém jednorázových hesel (generovaných např. VASCO kalkulátorem), je však nezbytné zakázat všechny protokoly, které šifrují heslo, tj. musí se nastavit protokol PAP. Pod Advanced Security se musí zvolit maximálně Optional encryption (connect even if no encryption).

Posledním špekem může být nutnost explicitního nastavení typu z Automatic na L2TP IPSec VPN – to v případě, kdy na serveru je  nakonfigurováno více možných přístupových protokolů, tedy vedle L2TP i PPTP či SSTP.

Zdroj:

https://www.techbit.cz/2017/nastaveni-l2tpipsec-pro-windows-za-nat/

http://dolezel.net/post/2008/03/09/Konfigurace-L2TPIPSec-klienta