L2tp перестал работать windows 10

В этой статье мы рассмотрим типовые причины ошибок при подключении к L2TP/IPSec VPN серверу с клиентов Windows 10/11 и Windows Server 2019/2016. Если вы не можете установить L2TP VPN подключение к Windows, внимательно посмотрите на код и описание ошибки. Там часто указывается причина ошибки.

Не удается установить связь между компьютером и VPN сервером L2TP/IPScec

При попытке установить соединение из клиента Windows к L2TP VPN серверу появляется ошибка:

Can’t connect to ваше_L2TP_IPSec_VPN_подключение
The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

Чаще всего при этом появляются следующие коды ошибок: 800, 794 или 809.

Если появилась такая ошибка, нужно проверить что вы указали правильный адрес VPN сервера, VPN сервер доступен и в файерволах открыты все необходимые порты.

Для доступа к L2TP/IPsec VPN сервере должны быть открыты следующие порты:

• UDP порт 1701 (Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP))
• UDP порт 500 (IKE, для управления ключами шифрования)
• Протокол ESP 50 (Encapsulating Security Payload) для IPSec
• Если VPN сервер находится за NAT, нужно дополнительно открыть UDP порт 4500 (протокол NAT-T, IPSec Network Address Translator Traversal)

Для подключения к L2TP VPN серверу можно использовать встроенный VPN клиент Windows. Проверьте настройки вашего VPN подключения. Убедитесь, что для VPN подключения используется туннель L2tp и pre-shared key (PSK)/сертификат для аутентификации. Настройки VPN подключения можно вывести с помощью PowerShell:

Get-VpnConnection

Разрешить подключение к L2TP/IPSec VPN серверу за NAT

Если целевой L2TP VPN сервер находится за NAT, то с настройками по-умолчанию вы не сможете установить подключение к нему с компьютера Windows. Дело в том, что протокол IPsec не поддерживает NAT. Для обхода этого ограничения используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP/4500.

IPSec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT/ Port Address Translation.

NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо как на сервере, так и на клиенте Windows внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра
   regedit.exe
   и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

   

   Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:

   • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT). В этом случае при установлении L2TP/IPsec подключения сначала создается зашифрованный IPsec-канал (используется протокол IKE: UDP/500 и NAT-T: UDP/4500). После этого уже внутри IPsec поднимается туннель L2TP на порт 1701 UDP. Это означает, что, если VPN сервер находится за NAT, вам не нужно пробрасывать на него порт 1701 UDP с внешнего роутера/маршрутизатора.

Подключение L2TP не удалось из-за ошибки согласования безопасности

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером. (Ошибка 789)

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10/11).

Еще несколько советов, которые помогут вам исправить проблему с L2TP VPN подключением в Windows

VPNs have, of late, gained tremendous importance in day-to-work, and are used by several users. But many of them report that they cannot connect to L2TP VPN in Windows 10.

L2TP is one of the most secure VPN protocols. It supports 256-bit encryption, which privacy experts highly recommend. Besides, the speed remains largely unaffected, and users get a stable connection. So, let’s find out all about the issue.

Why is my L2TP VPN not working?

Here are a few reasons you cannot connect to L2TP VPN in Windows 10:

• Incorrect username or password: The most likely reason you face issues with the connection is inaccurate authentication details.
• Misconfigured settings: Even misconfigured network or VPN settings can trigger issues and prevent the VPN from working effectively.
• Wrong server address: Some users found out that they had input an incorrect server address and were, as a result, unable to connect to L2TP VPN in Windows 10.
• Connection blocked by the firewall: A built-in or third-party firewall can often block connections it deems risky, and you need to modify the rules for things to work out.

Quick Tip:

Use a premium VPN instead. If you keep having problems with your current configuration, consider using a dedicated VPN app that’s way easier to configure.

ExpressVPN is a great alternative that supports L2TP/IPsec. The only thing you have to do is to install it and select the protocol in one click from settings.

ExpressVPN

Connect to ExpressVPN using its L2TP/IPsec protocol and get high-speed connections without errors!

What can I do if I cannot connect to L2TP VPN in Windows 10?

Before we head to the slightly complex solutions, try these quick ones first:

• Restart the computer and then try connecting to the VPN.
• Check the user name and password for the VPN connection. Also, verify with the administrator if these were recently changed, and use the new ones.
• Ensure you entered the correct server address and the Pre-shared key (if applicable).
• Check for updates and install any pending ones for Windows 10.

If none of these work, move to the fixes listed below.

1. Uninstall recent Windows Update

1. Press Windows + I to open Settings, and then click on Update & Security.
2. Click on View update history.
3. Now, click on Uninstall updates.
4. Choose the update installed around the same time the issue first appeared, and click on Uninstall.
5. Click on Yes in the confirmation prompt to proceed.

When you cannot connect to L2TP VPN in Windows 10, the first to check for is a buggy update since this has happened in the past. Verify whether others, too, are facing the same problem, and if that’s the case, uninstall the update.

2. Disable Xbox Live Networking Service

1. Press Windows + R to open Run, type services.msc, and then hit Enter.
2. Locate and double-click on the Xbox Live Networking Service to open its Properties.
3. Now, choose Disabled from the Startup type dropdown menu, click on Stop, and then on OK to save the changes.
4. Once done, restart the computer.

Many users found out that the Xbox Live Networking Service, for some reason, created conflicts and, as a result, they cannot connect to L2TP VPN in Windows 10.

3. Change the VPN settings

1. Press Windows + R to open Run, type ncpa.cpl, and click OK.
2. Right-click on the VPN, and choose Properties.
3. Navigate to the Security tab, and then choose Optional encryption (connect even if no encryption) from the Data encryption dropdown menu.
4. Now, select Allow these protocols, tick the checkboxes for Challenge Handshake Authentication Protocol (CHAP) and Microsoft CHAP Version 2 (MS-CHAP v2), and then click OK to save the changes.

4. Change the firewall rules

1. Press Windows + S to open Search, type Windows Defender Firewall in the text field, and click on the relevant search result.
2. Click on Advanced settings on the left.
3. Choose Outbound Rules from the navigation pane, and double-click on Routing and Remote Access (L2TP-Out).
4. Tick the checkbox for Enabled, then under Action, enable Allow the connection, and click OK to save the changes.

In many cases, the firewall is the underlying cause when you cannot connect to L2TP VPN in Windows 10, and simply changing the rules should do the trick.

5. Modify the Registry

1. Press Windows + R to open Run, type regedit, and hit Enter.
2. Click Yes in the UAC prompt.
3. Paste the following path in the address bar and hit Enter:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Right-click on the empty portion, hover the cursor over New, select DWORD (32-bit) Value, and name it AssumeUDPEncapsulationContextOnSendRule.
5. Double-click on the newly created DWORD.
6. Enter 1 under Value data, and click on OK.
7. Next, paste the following path and hit Enter:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan
8. Create a new DWORD (32-bit) Value, name it ProhibitIpSec as the value name, and then double-click on it.
9. Set 0 as the Value data, and click on OK.
10. Finally, restart your computer for the changes to apply.

The Registry fix is found to be highly effective when you cannot connect to L2TP VPN in Windows 10 and worked for many.

Also, if 1 does not work as the Value data for AssumeUDPEncapsulationContextOnSendRule, enter 2 the next time, and the error should be gone.

6. Create a new user account

1. Press Windows + I to open Settings, and click on Accounts.
2. Go to the Family & other users tab, and click on Add someone else to this PC.
3. Choose the I don’t have this person’s sign-in information option.
4. Next, click on Add a user without a Microsoft account.
5. Enter a username (mandatory) and a password (optional), and then click on Next to create an account.
6. Once done, press Alt + F4, select Switch user from the dropdown menu, and click OK.
7. Now, log in to the new account, and connect to the VPN.

If nothing helps and you still cannot connect to L2TP VPN in Windows 10, the last option is to create a new user account. It should, in all likelihood, fix the problem.

However, if you don’t want to worry about such problems anymore, we suggest using ExpessVPN instead. It’s also the best VPN for Google Chrome.

Tell us which fix worked for you in the comments section below.

Как у самурая нет цели, а есть только путь, так и Windows движется своим особым путём, порой идущим вразрез с общепринятыми стандартами. Сегодня хочу рассказать почему в Windows 10 не работает подключение к VPN серверу по протоколу L2TP/IPSec и как можно решить данную проблему.

Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

Однако не стоит верить написанному, так как «винда» направляет нас по ложному следу в поисках проблемы. Виноваты все, кроме самой операционной системы Windows, хотя дело именно в ней и проблема эта уже давно известна и описана в статье https://support.microsoft.com/en-us/kb/926179.

Всё дело в том, что встроенный VPN клиент Windows, по умолчанию, не поддерживает подключение L2TP/IPsec через NAT. Что такое NAT, маскарад и проброс портов простыми словами я рассказывал ранее, кому интересно переходите по ссылке.

Если совсем кратко, то практически все домашние сети (роутеры) работают именно в таком режиме и для успешного прохождения L2TP/IPsec через NAT требуется поддержка протокола NAT Traversal (или NAT-T), которая по умолчанию включена почти во всех операционных системах (Linux, macOS, iOS, Android), кроме Windows.

Для самой популярной и дружелюбной операционной системы в мире, поддержку протокола NAT-T приходится включать вручную, естественно полазив в системном реестре. Для чего перемещаемся в редактор реестра regedit и находим там ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Для Windows XP ветка будет немного иная, читайте по ссылке приведённой ранее на сайте Microsoft (смысла рассказывать здесь не вижу, в виду сильного устаревания системы).

Создаём недостающий DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2:

По идее, произведённые настройки вступают в силу без перезагрузки операционной системы, но если перезагрузитесь, хуже не будет. Теперь подключение к VPN серверу должно успешно заработать через NAT (в том числе двойной NAT).

Если вам не хочется возиться с реестром вручную, можно использовать воспользоваться PowerShell:


Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;