Konfigurera en L2TP/IPsec-server bakom en NAT-T-enhet
I den här artikeln beskrivs hur du konfigurerar en L2TP/IPsec-server bakom en NAT-T-enhet.
Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 926179
Sammanfattning
Viktigt
Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.
Som standard har Windows Vista och Windows Server 2008 inte stöd för NAT-bläddreringsassociationer (Internet Protocol Security, IPsec) nätverksadressöversättning (NAT) traversering (NAT-T) till servrar som finns bakom en NAT-enhet. Om den virtuella privata nätverksservern (VPN) finns bakom en NAT-enhet kan en Windows Vista- eller Windows Server 2008-baserad VPN-klientdator inte upprätta en Layer 2 Tunneling Protocol (L2TP)/IPsec-anslutning till VPN-servern. Det här scenariot omfattar VPN-servrar som kör Windows Server 2008 och Windows Server 2003.
På grund av hur NAT-enheter översätter nätverkstrafik kan det uppstå oväntade resultat i följande scenario:
- Du placerar en server bakom en NAT-enhet.
- Du använder en IPsec NAT-T-miljö.
Om du måste använda IPsec för kommunikation använder du offentliga IP-adresser för alla servrar som du kan ansluta till från Internet. Om du måste placera en server bakom en NAT-enhet och sedan använda en IPsec NAT-T-miljö kan du aktivera kommunikation genom att ändra ett registervärde på VPN-klientdatorn och VPN-servern.
Ange registernyckeln AssumeUDPEncapsulationContextOnSendRule
Följ dessa steg för att skapa och konfigurera registervärdet AssumeUDPEncapsulationContextOnSendRule :
Logga in på Windows Vista-klientdatorn som en användare som är medlem i gruppen Administratörer.
Välj Starta>alla program>tillbehör>Kör, skriv regedit och välj sedan OK. Om dialogrutan User Account Control (User Account Control ) visas på skärmen och du uppmanas att höja din administratörstoken väljer du Fortsätt.
Leta upp och markera sedan följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgentObs!
Du kan också använda DWORD-värdet AssumeUDPEncapsulationContextOnSendRule på en Microsoft Windows XP Service Pack 2(SP2)-baserad VPN-klientdator. Det gör du genom att leta upp och sedan välja registerundernyckeln
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec.Peka påNytt på redigera-menyn och välj sedan DWORD-värde (32-bitars).
Skriv AssumeUDPEncapsulationContextOnSendRule och tryck sedan på RETUR.
Högerklicka på AssumeUDPEncapsulationContextOnSendRule och välj sedan Ändra.
I rutan Värdedata anger du något av följande värden:
0
Det är standardvärdet. När den är inställd på 0 kan Windows inte upprätta säkerhetsassociationer med servrar som finns bakom NAT-enheter.
1
När den är inställd på 1 kan Windows upprätta säkerhetsassociationer med servrar som finns bakom NAT-enheter.
2
När den är inställd på 2 kan Windows upprätta säkerhetsassociationer när både server- och VPN-klientdatorn (Windows Vista eller Windows Server 2008-baserad) finns bakom NAT-enheter.
Välj OK och avsluta sedan Registry Editor.
Starta om datorn.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för