Подключение к VPN-серверу L2TP/IPSec из Windows

NOTE: Важно! Если вы планируете настроить Keenetic в качестве VPN-сервера, начать необходимо с проверки того, что он имеет публичный "белый" IP-адрес, а при использовании доменного имени KeenDNS, что оно настроено в режиме "Прямой доступ". При несоблюдении любого из этих условий подключение к такому серверу из Интернета будет невозможно. Исключение из этого правила описано ниже в разделе Примечание.

Встроенный VPN-сервер L2TP/IPSec можно настроить по инструкции "VPN-сервер L2TP/IPsec".

Рассмотрим пример создания VPN-подключения L2TP/IPSec на компьютере с ОС Windows 10.

Нажмите правой кнопкой мыши на значок "Пуск", выберите раздел "Сетевые подключения" и на появившемся экране VPN.

Выберите пункт "Добавить VPN-подключение".

s1.png

В настройках подключения в качестве поставщика услуг VPN выберите "Windows (встроенные)". Задайте имя подключения, например "Домашняя сеть". Введите доменное имя или IP-адрес Keenetic, в нашем примере myhomerouter.keenetic.link. Выберите тип VPN - "L2TP/IPSec с предварительным ключом". Введите общий ключ для IPSec, который вы придумали и записали во время настройки VPN-сервера Keenetic, потом имя пользователя (которому разрешено подключение по VPN) и его пароль. Нажмите кнопку "Сохранить".

s34.png

Для установления соединения нажмите кнопку "Подключиться".

s5.png

Соединение установлено.

s6.png

Примечание

Возможность подключиться из Интернет к имеющему частный "серый" IP-адрес VPN-серверу появится лишь в том случае, когда на вышестоящем маршрутизаторе с "белым" IP настроен проброс портов на "серый" адрес Keenetic'а. Для L2TP/IPSec требуется проброс UDP 500 и UDP 4500. Другой вариант - проброс всех портов и протоколов, который на некоторых маршрутизаторах имеет название DMZ.

Типовым примером подобного маршрутизатора является CDCEthernet-модем. Он может получать от провайдера "белый" адрес и выдавать Keenetic'у "серый". Настройка проброса портов зависит от модема. Существуют те, что пробрасывают все порты без дополнительной настройки. В других эта настройка производится в их собственном веб-интерфейсе. А есть и такие, где она вообще не предусмотрена.

Другой пример такого маршрутизатора это оптический GPON-роутер или терминал от Ростелеком или МГТС, установленный на входе в квартиру. В таких устройствах проброс настраивается в их веб-интерфейсе.

Если проброс настроен правильно, можно пробовать установить VPN-соединение с внешним "белым" IP-адресом такого маршрутизатора. Он пробросит его на "серый" адрес Keenetic'а.

Правда в случае L2TP/IPSec есть исключение и из этого правила. Такое подключение легко установится со смартфона или планшета, но не установится с Windows-клиента. 

Это известное ограничение Windows. В журнале Keenetic в таком случае попытка соединения заканчивается ошибками:

ipsec11[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec16[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[IKE] received retransmit of request with ID 0, retransmitting response 
ipsec15[JOB] deleting half open IKE_SA with 193.0.174.212 after timeout 

Да, L2TP/IPSec из Windows можно установить только если сам Keenetic имеет "белый" адрес. Проброс не поможет. Существуют однако другие, не столь привередливые виды VPN: PPTP, SSTP или OpenVPN. Их можно использовать для подключения Windows к серверу за NAT-ом после проброса. Для PPTP нужно пробросить TCP порт 1723 и GRE-протокол, для SSTP - TCP 443, а для OpenVPN UDP порт 1194 по умолчанию. Впрочем в последнем случае как протокол так и порт могут быть изменены по вашему желанию в конфигурации OpenVPN.

Установка нескольких одновременных L2TP/IPSec-подключений 

В операционной системе Windows существует проблема, когда невозможно установить одновременно более одного соединения к внешнему VPN-серверу L2TP/IPSec с компьютеров под управлением Windows, использующих один выход в Интернет (один внешний IP-адрес). Например, на внешнем VPN-сервере используется несколько учетных записей пользователей. По отдельности, каждый пользователь может установить соединение с сервером, а при одновременном подключении к VPN-серверу, через один внешний IP-адрес, будет возникать ошибка соединения. Данная особенность проявляется исключительно на компьютерах под управлением ОС Windows (начиная с XP по 10). Эта ошибка связана именно с некорректной работой встроенного VPN-клиента L2TP/IPSec на Windows.

В данном случае для корректного подключения внешних клиентов через NAT попробуйте на стороне VPN-клиента внести изменение в реестр Windows.

Важно! Редактор реестра - инструмент, предназначенный только для опытных пользователей. Он предназначен для просмотра и изменения параметров в системном реестре операционной системы Windows, в котором содержатся сведения о работе компьютера.

При неправильном изменении реестра могут возникнуть серьезные проблемы, поэтому точно выполняйте указанные ниже действия. Для дополнительной защиты рекомендуется создать резервную копию реестра перед его редактированием, которая позволит при возникновении неполадок восстановить реестр Windows.

Для запуска редактора реестра в Windows 7/8/10 нажмите клавишу Win + R, введите regedit и нажмите OK.

Перейдите в раздел реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters] и установите параметры:

AllowL2TPWeakCrypto = dword:00000001
ProhibitIPSec = dword:00000000


Важно! После редактирования реестра требуется перезагрузка операционной системы, чтобы изменения вступили в силу.

Также может потребоваться настройка показанная в статье на сайте Microsoft

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 18 из 22

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 6
  • Добрый день, подскажите пожалуйста можно ли подключится через L2TP/IPSec с macOS если сам Keenetic имеет серый адрес и если нет есть ли какой-либо другой путь для Mac'а?

    0
    Действия с комментариями Постоянная ссылка
  • Для подключения к серверу L2TP/IPsec на WAN-интерфейсе Keenetic должен быть белый публичный IP.

    0
    Действия с комментариями Постоянная ссылка
  • А для Windows 7 настройки?

    0
    Действия с комментариями Постоянная ссылка
  • Посмотрите, пожалуйста, статью "Пример подключения L2TP over IPSec в Windows 7"

    1
    Действия с комментариями Постоянная ссылка
  • Если у вас серый IP-адрес, то для подключения L2TP/IPSec в Windows нужно внести в реестр изменения.
    Для Windows XP:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
    RegValue: AssumeUDPEncapsulationContextOnSendRule
    Type: DWORD
    Data Value: 2

    Для Windows Vista, 7, 8, 10:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    RegValue: AssumeUDPEncapsulationContextOnSendRule
    Type: DWORD
    Data Value: 2

    0
    Действия с комментариями Постоянная ссылка
  • Добрый день!
    По данной инструкции легко настроил доступ с Android - почему в статье не сказано, что для Android она тоже применима? Удивительно.... Допишите, пожалуйста, про это - ведь многим может оказаться полезно. А еще лучше добавить скриншотов для настройки Android аналогично iOS.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.