none
Настройка RRAS на базе 2008 r2 RRS feed

  • Вопрос

  • Добрый день! 

    На сервере 2008 r2 поднята служба RRAS,  подключение клиентов настроено через предварительный ключ.

    Сервер стоит за NATом, вот  порты на NATе: 

    (192.168.1.5 - адрес сервера)

    Подключение создаю на Windows 7,  создаю подключение через CMAK, указываю работать только по L2TP. Соединение не проходит, завершается с 789  ошибкой. В логах сервера ничего нет, в логах клиента   "Пользователь user\user установил удаленное подключение VPN, которое завершилось сбоем. Возвращен код ошибки 789".

    PTP соединение не устанавливается также, но при этом в логах сервера сообщение что брандмауер не поддерживает пакеты GRE, собственно поэтому указываю использовать L2TP. 

    Почему может не подыматься L2TP соединение с 789 ошибкой? Завтра еще попробую исключить NAT из цепочки 

    5 декабря 2013 г. 18:56

Ответы

  • Кроме порта 4500/UDP для входящего подключения по IPSec с использованием NAT-T нужно еще пробрасывать порт 500/UDP (протокол ISAKMP). Потому что начальное согласование по ISAKMP идет на него. И только потом узел, устанвливающий соединение, обнаруживает (по факту изменения номера порта источника с 500 на другой), что партнер находится за NAT и использует NAT-T.

    PS Клиенты Windows, по соображениям безопасности, по умолчанию отказываются подключаться к серверу L2TP/IPSec за NAT. Требуется специально изменить это поведение через реестр.

    PPS Для NAT-T достаточно порта 4500 только протокола UDP (без TCP). А порт 1701 пробрасывать вообще не надо: эти пакеты (опять-таки - протокола UDP) в открытом виде  в сети не появляются - они заключены внутри пакетов IPSec.


    Слава России!

    • Предложено в качестве ответа Elina Lebedeva 6 декабря 2013 г. 12:45
    • Помечено в качестве ответа Elina Lebedeva 21 января 2014 г. 12:46
    6 декабря 2013 г. 0:55

Все ответы

  • Кроме порта 4500/UDP для входящего подключения по IPSec с использованием NAT-T нужно еще пробрасывать порт 500/UDP (протокол ISAKMP). Потому что начальное согласование по ISAKMP идет на него. И только потом узел, устанвливающий соединение, обнаруживает (по факту изменения номера порта источника с 500 на другой), что партнер находится за NAT и использует NAT-T.

    PS Клиенты Windows, по соображениям безопасности, по умолчанию отказываются подключаться к серверу L2TP/IPSec за NAT. Требуется специально изменить это поведение через реестр.

    PPS Для NAT-T достаточно порта 4500 только протокола UDP (без TCP). А порт 1701 пробрасывать вообще не надо: эти пакеты (опять-таки - протокола UDP) в открытом виде  в сети не появляются - они заключены внутри пакетов IPSec.


    Слава России!

    • Предложено в качестве ответа Elina Lebedeva 6 декабря 2013 г. 12:45
    • Помечено в качестве ответа Elina Lebedeva 21 января 2014 г. 12:46
    6 декабря 2013 г. 0:55
  • Кроме порта 4500/UDP для входящего подключения по IPSec с использованием NAT-T нужно еще пробрасывать порт 500/UDP (протокол ISAKMP). Потому что начальное согласование по ISAKMP идет на него. И только потом узел, устанвливающий соединение, обнаруживает (по факту изменения номера порта источника с 500 на другой), что партнер находится за NAT и использует NAT-T.

    PS Клиенты Windows, по соображениям безопасности, по умолчанию отказываются подключаться к серверу L2TP/IPSec за NAT. Требуется специально изменить это поведение через реестр.

    PPS Для NAT-T достаточно порта 4500 только протокола UDP (без TCP). А порт 1701 пробрасывать вообще не надо: эти пакеты (опять-таки - протокола UDP) в открытом виде  в сети не появляются - они заключены внутри пакетов IPSec.


    Слава России!

    Спасибо тебе! Весть мозг вынул колупая НАТ и Сервак. Ну не подумал я что проблема в станции, которая пишет что сервер не отвечает (error 809) Хотя должно все работать.
    17 января 2014 г. 7:43