O comportamento padrão do IPsec NAT traversal (NAT-T) é alterado no Windows XP Service Pack 2

Este artigo descreve uma mudança no comportamento padrão do protocolo IPsec (segurança) rede endereço NAT (conversão) transversal (NAT-T) que implementou no Microsoft Windows XP Service Pack 2 (SP2). Você pode modificar esse comportamento padrão no Windows XP SP2 usando o seguinte valor do Registro:

Nenhuma alteração foi feita na implementação do Microsoft Windows 2000 IPsec NAT-T.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Por padrão, computadores que executam o Windows XP com Service Pack 2 e que iniciam comunicações protegidas por IPsec (agora em diante chamadas de iniciadores) não suporta usando NAT-T de IPsec para computadores remotos que respondem a solicitações de comunicação protegido por IPsec (agora em diante chamado de respondedores) que estão atrás de um conversor de endereços de rede. Isso é para evitar possíveis problemas de segurança, como discutido no seguinte artigo Base de dados de Conhecimento Microsoft:

Por exemplo, se seu servidor de rede virtual privada (VPN) que está executando o Microsoft Windows Server 2003 está atrás de um conversor de endereços de rede, por padrão, um cliente baseado no Windows XP SP2 não poderá fazer um protocolo de encapsulamento de camada com conexão de IPsec (L2TP/IPsec) para o servidor VPN.

Esse comportamento padrão também pode impedir que computadores que estejam executando Windows XP com SP2 façam conexões de área de trabalho remota são protegidas pelo L2TP/IPsec ou pelo modo de transporte IPsec quando o computador de destino estiver localizado atrás de um conversor de endereços de rede.

Devido à forma como NAT-T de IPsec funciona no Windows XP sem service packs instalados e no Windows XP Service Pack 1 (SP1), você pode enfrentar resultados inesperados ao colocar um servidor atrás de um conversor de endereços de rede e use IPsec NAT-t. Portanto, se precisar do IPsec para comunicação, recomendamos que você use endereços IP públicos para todos os servidores que podem se conectar ao diretamente da Internet.

Observação Independentemente dessas alterações, computadores que executam o Windows 2000, Windows XP ou Windows Server 2003 suporte a conexões com base em IPsec NAT-T como um iniciador quando localizado atrás de um conversor de endereços de rede. Por exemplo, um laptop de cliente de VPN L2TP/IPsec estiver em uma rede privada hotel pode iniciar uma conexão para um servidor VPN que está usando um endereço público.

NAT é uma tecnologia amplamente usado que permite que mais de um computador compartilhar um único endereço IP público. Conversores de endereço de rede mapeiam endereços privados (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) são usados em redes privadas aos endereços IP públicos que são usados na Internet.
Para obter mais informações sobre como colocar servidores atrás de um conversor de endereço de rede, sobre como configurar mapeamentos de conversão de endereços de rede para servidores e sobre as conseqüências para associações de segurança IPsec NAT-T para uma situação específica, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
Para permitir que um iniciador IPsec NAT-T para se conectar a um respondedor está protegido por um NAT, você deve criar e defina o valor do Registro AssumeUDPEncapsulationContextOnSendRule no iniciador.

Observação Antes de você configurar esse valor do Registro, é recomendável que você entre em contato com o administrador da rede ou ler a diretiva de segurança corporativa.

Para criar e configurar o valor do Registro AssumeUDPEncapsulationContextOnSendRule, execute essas etapas:

1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
4. Na caixa novo valor # 1 , digite AssumeUDPEncapsulationContextOnSendRule e, em seguida, pressione ENTER.
   
   importante Esse nome de valor é diferencia maiúsculas de minúsculas.
5. Clique com o botão direito do mouse em AssumeUDPEncapsulationContextOnSendRule e, em seguida, clique em Modificar .
6. Na caixa dados do valor , digite um dos seguintes valores:
   • 0 (padrão)
     Um valor de 0 (zero) configura o Windows XP SP2 para que ele não é possível iniciar comunicações protegidas por IPsec com respondedores que estão atrás de conversores de endereço de rede.
   • 1
     Um valor de 1 configura o Windows XP SP2 para que ele pode iniciar comunicações protegidas por IPsec com respondedores que estão atrás de conversores de endereço de rede.
   • 2
     Um valor de 2 configura o Windows XP SP2 para que ele pode iniciar comunicações protegidas por IPsec quando os iniciadores e respondedores estiverem atrás de conversores de endereço de rede.
     
     Observação Isso é o comportamento do IPsec NAT-T no Windows XP sem service packs instalados e no Windows XP SP1.
7. Clique em OK e feche o Editor do Registro.
8. Reinicie o computador.

Após configurar AssumeUDPEncapsulationContextOnSendRule com um valor de 1 ou um valor igual a 2, Windows XP SP2 pode se conectar a um respondedor que está atrás de um conversor de endereços de rede. Esse comportamento se aplica a conexões a um servidor VPN que está executando o Windows Server 2003.