起因:
- 路由器上的VPN账号管理功能太弱,日志也不全,而且会将客户端流量全部转发,所以决定在主防火墙后部署远程访问服务器,使用单网卡方案,使用个人AD账号登录,设置只转发公司网段流量。
问题现象:
- 使用新服务器后,iPhone和Andriod手机都可以正常连接L2TP/IPSec协议VPN,但Windows系统客户机却无法连接,卡在第一步连接服务器阶段。
- 同一VPN服务器上的PPTP和IKEv2协议,Windows系统客户机都连接正常。
- Windows系统客户机在防火墙内连接L2TP/IPSec协议VPN正常。
分析:
- 其他VPN协议连接正常和Windows系统客户机在防火墙内连接L2TP/IPSec协议都正常,说明VPN服务器配置正常。
- 手机可以连接,说明防火墙配置都正确。
- 问题似乎处在Windows系统上,但连接路由器上的L2TP/IPSec协议VPN也是正常的。
- 回想以前部署远程访问服务器都是使用双网卡方案在网络边缘布置,而且使用路由器VPN时,路由器也是在主防火墙前,而这次是在主防火墙后部署远程访问服务器。
- 查资料,IPSec与NAT存在兼容性问题:
解决方案:
- 解决方案已在上述第二篇文章中,Windows系统默认不支持连接在防火墙NAT后的L2TP/IPSec协议VPN,但是可以通过修改注册表解决。
- 方法,修改客户机注册表。定位注册表 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent,新建DWORD (32位)值,名称:AssumeUDPEncapsulationContextOnSendRule,数据:2,重启系统,搞定。
转载请注明原文地址:https://www.roed.cn/read-206990.html
