Ошибка 809 при подключении vpn windows 7 l2tp

В интересах производственных процессов возникает вопрос обеспечения доступа пользователей к локальной сети предприятия через VPN.

Частным случаем реализации данной задачи является организация доступа через шлюз MikroTik по протоколу L2TP с использованием IpSec и ключа проверки подлинности (IPSec Secret). При этом при создании пользователей для доступа по VPN через сервер L2TP используется профиль SSTP.

Однако, как показала практика, возникают сложности с соединением, выражающиеся в отображении пользователю ошибки 809 при его попытке соединиться с локальной сетью, например:

Устранение данной ошибки является комплексным решением проблемы и включает в себя условно 3 этапа.

1. Модем. При работе из дома пользователи, как правило, используют домашний роутер, предоставленный провайдером услуг Интернет. Необходимо убедиться, что Ваш домашний роутер будет корректно обрабатывать протоколы L2TP и IpSec. Пример решения для одного из модемов приведён в этой заметке.

По личному опыту, этого было достаточно при работе в Linux.

2. Брандмауэр Windows, по умолчанию, блокирует необходимые для описываемого типа VPN-соединения соединения к определённым портам. Для обеспечения соединения нужно открыть доступ к портам UDP 500, 1701, 4500. Назначение этих портов:

500 – ISAKMP – Internet Security Association and Key Management Protocol;

1701 – Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP);

4500 – NAT-T – IPSec Network Address Translator Traversal.

Запустите оснастку управления брандмауэром Windows и нажмите на ссылку «Дополнительные параметры»:

Нужно создать 2 правила: для входящих подключений и исходящих подключений. Активизируйте соответствующий пункт в верхнем меню слева:

Далее в верхнем меню справа нажмите на «Создать правило»:

При запросе типа правила укажите, что данное правило создаётся для порта:

Укажите локальные порты UDP: 500, 4500, 1701

Аналогично сделайте и для другого вида подключения (в этом примере далее – для исходящего).

Попробуйте установить соединение. Если не помогло – работаем дальше.

3. Внесение измнения в реестр Windows.

Запустите редактор реестра (regedit) и пройдите в ветку

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Rasman\ Parameters

Создайте двоичный параметр DWORD с именем ProhibitIpSec и значением 1:

Перезагрузитесь. Попробуйте соединиться со своей сетью по VPN. Получилось?

Содержание

• В чём причина ошибки 809?
• Для начала
• Порты брандмауэра
• Новое правило для реестра
• Изменение настроек шифрования через реестр
• Отключение сторонних сервисов
• Если всё ещё возвращает ошибку 809
  • 1. Обновите «операционку»
  • 2. Удалите VPN-приложения вместе с настройками
  • 3. Очистите устройство от «файлового мусора»

Иногда случается, что пользователь, пытающийся подключиться к VPN-серверу, получает ошибку с кодом 809. Например, такая проблема может возникнуть у абонентов билайна, так как провайдер предоставляет доступ в интернет по технологии L2TP, то есть через ВПН-туннель.

Рассказываем в статье, что делать в такой ситуации.

В чём причина ошибки 809?

Чаще всего проблема на стороне пользователя: его компьютера и ОС Windows.

Сбой может быть из-за того, что один из компонентов ОС или устройство между ПК и сервером не имеет разрешения на подключение к VPN. Один из таких компонентов — NAT (Network Address Translation), отвечающий за преобразование IP-адресов во внутренние и внешние. Другая вероятная причина — настройки брандмауэра. И таких «виновников» может быть немало.

Но обо всём по порядку.

Для начала

Встроенный защитник Windows — одна из самых частых причин сбоев в работе интернета. А если учесть, что по дефолту в брандмауэре не настроена корректная работа с VPN-соединениями, то стоит начать с него.

1. Запустите «Панель управления».

1. Перейдите в раздел «Система и безопасность».

1. Нажмите на строчку «Брандмауэр Защитника Windows».

1. В левом меню найдите интерактивную надпись «Включение и отключение брандмауэра…» и нажмите на неё.

1. В открывшемся окне проставьте маркеры напротив всех опций, связанных с отключением брандмауэра, и подтвердите изменения.

Попробуйте подключиться к интернету или VPN-серверу снова. Если соединение не заработало, то переходите к инструкции «Новое правило для реестра» и следующим. Если же доступ в интернет появился, то включите брандмауэр и следуйте гайдам в предложенной последовательности.

Примечание: инструкции актуальны для Windows 7, 8 и 10. Команды, пути, названия и т. п. вводятся без кавычек.

Порты брандмауэра

Если у вас домашний интернет билайн по протоколу L2TP, то с высокой долей вероятности открытие портов 1701, 500, 1460, 4500 решит проблему.

1. Запустите «Панель управления».
2. Перейдите в раздел «Система и безопасность».
3. Перейдите в подраздел «Брандмауэр Защитника Windows».
4. В левом меню кликните по интерактивной строке «Дополнительные параметры».

1. Нажмите правой кнопкой мыши на строчку «Правила для входящих подключений».
2. Нажмите ЛКМ по опции «Создать правило» в появившемся контекстном меню.

1. Экран «Тип правила»: поставьте маркер напротив опции «Для порта» и нажмите «Далее».

1. Экран «Протоколы и порты»: поставьте маркер напротив опции «Протокол UDP» и «Определённые локальные порты». В строке введите «1701, 500, 1460, 4500», нажмите «Далее».

1. Экран «Действие»: отметьте маркером опцию «Разрешить подключение», нажмите «Далее».

1. Экран «Профиль»: отметьте галочками все опции и снова нажмите «Далее».

1. Экран «Имя»: назовите правило. В качестве имени можно использовать, например, «Интернет билайн».

1. Нажмите «Готово» и повторите шаги № 5–11, но для исходящих подключений.

Попробуйте подключиться к интернету. Если соединение работает, то всё сделано верно. Если нет, то повторите действия с одним изменением: на шаге № 8 выберите не UDP, а TCP.

Новое правило для реестра

1. Нажмите Win + R и в появившемся окне пропишите команду regedit.

1. Вставьте в адресную строку путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.

1. Нажмите на кнопку «Правка».
2. Поочерёдно выберите «Создать» и «Параметр DWORD (32 бита)». Созданному сеттингу присвойте название AssumeUDPEncapsulationContextOnSendRule.

1. Дважды кликните по параметру левой кнопкой мыши.
2. В строке «Значение» напишите цифру 2.

1. Сохраните новые параметры и перезагрузите устройство.

Изменение настроек шифрования через реестр

1. Повторите 1-й шаг из предыдущей инструкции.
2. Вставьте в адресную строку путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters.

1. Найдите параметр AllowL2TPWeakCrypto, дважды кликните по нему ЛКМ, пропишите в поле значение «1» и подтвердите изменения.

1. Найдите строку ProhibitIPSec, дважды кликните по ней, укажите в поле значение «0» и сохраните.
2. Перезагрузите компьютер.

Если сбой не был устранён, то снова откройте AllowL2TPWeakCrypto, пропишите «0» и перезапустите компьютер.

Отключение сторонних сервисов

С Windows 8 и 10 «виновником» может стать интегрированный сервис Xbox Live — стоит попробовать его отключить. Для этого:

1. нажмите Win + R;
2. впишите команду services.msc;

1. найдите строку «Сетевая служба Xbox Live» и кликните по ней правой кнопкой мыши;
2. во вкладке «Общие» найдите параметр «Тип запуска», вызовите dropdown-меню и выберите опцию «Отключена».

Если всё ещё возвращает ошибку 809

1. Обновите операционную систему

Инструкция для Windows 10

1. Откройте меню «Пуск».

2. Найдите шестерёнку и нажмите на неё.

1. Перейдите в подраздел «Обновление и безопасность».

1. Откроется «Центр обновления Windows» — кликните по кнопке «Проверить наличие обновлений».

1. Если система найдёт патч, то появится соответствующий блок. Нажмите на кнопку «Загрузить и установить», расположенную под ним.

Инструкция для Windows 7

1. Запустите «Панель управления».
2. Перейдите в подраздел «Центр обновления Windows».
3. Проверьте, есть ли обновления. По умолчанию они загружаются автоматически. Если да — нажмите «Установить».

2. Удалите VPN-приложения вместе с настройками

Если вы устанавливали какие-либо приложения, работающие с VPN, то попробуйте избавиться от них. Важно провести полное удаление.

1. Запустите «Панель управления».
2. Откройте раздел «Программы» / «Установка и удаление программ».
3. Найдите в списке программу, которую хотите деинсталлировать, и выделите её.
4. В меню над блоком с приложениями станет активной кнопка «Удалить» — нажмите на неё и следуйте инструкциям. Если деинсталлятор предложит удалить настройки программы — согласитесь.
5. Перезагрузите ПК.

3. Очистите устройство от «файлового мусора»

Этот способ лучше всего применять вкупе с предыдущим: «файловый мусор» может остаться даже после удаления приложения средствами ОС. Для очистки ПК от ненужных файлов воспользуйтесь специальной утилитой. Например, CCleaner.

Но рекомендуем очень внимательно отнестись к настройке параметров удаления. Иначе вместе с ненужными файлами вы можете очистить сохранённые учётные данные ПК для авторизации в различных сервисах.

В этой статье мы рассмотрим типовые причины ошибок при подключении к L2TP/IPSec VPN серверу с клиентов Windows 10/11 и Windows Server 2019/2016. Если вы не можете установить L2TP VPN подключение к Windows, внимательно посмотрите на код и описание ошибки. Там часто указывается причина ошибки.

Не удается установить связь между компьютером и VPN сервером L2TP/IPScec

При попытке установить соединение из клиента Windows к L2TP VPN серверу появляется ошибка:

Can’t connect to ваше_L2TP_IPSec_VPN_подключение
The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

Чаще всего при этом появляются следующие коды ошибок: 800, 794 или 809.

Если появилась такая ошибка, нужно проверить что вы указали правильный адрес VPN сервера, VPN сервер доступен и в файерволах открыты все необходимые порты.

Для доступа к L2TP/IPsec VPN сервере должны быть открыты следующие порты:

• UDP порт 1701 (Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP))
• UDP порт 500 (IKE, для управления ключами шифрования)
• Протокол ESP 50 (Encapsulating Security Payload) для IPSec
• Если VPN сервер находится за NAT, нужно дополнительно открыть UDP порт 4500 (протокол NAT-T, IPSec Network Address Translator Traversal)

Для подключения к L2TP VPN серверу можно использовать встроенный VPN клиент Windows. Проверьте настройки вашего VPN подключения. Убедитесь, что для VPN подключения используется туннель L2tp и pre-shared key (PSK)/сертификат для аутентификации. Настройки VPN подключения можно вывести с помощью PowerShell:

Get-VpnConnection

Разрешить подключение к L2TP/IPSec VPN серверу за NAT

Если целевой L2TP VPN сервер находится за NAT, то с настройками по-умолчанию вы не сможете установить подключение к нему с компьютера Windows. Дело в том, что протокол IPsec не поддерживает NAT. Для обхода этого ограничения используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP/4500.

IPSec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT/ Port Address Translation.

NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо как на сервере, так и на клиенте Windows внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра
   regedit.exe
   и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

   

   Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:

   • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT). В этом случае при установлении L2TP/IPsec подключения сначала создается зашифрованный IPsec-канал (используется протокол IKE: UDP/500 и NAT-T: UDP/4500). После этого уже внутри IPsec поднимается туннель L2TP на порт 1701 UDP. Это означает, что, если VPN сервер находится за NAT, вам не нужно пробрасывать на него порт 1701 UDP с внешнего роутера/маршрутизатора.

Подключение L2TP не удалось из-за ошибки согласования безопасности

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером. (Ошибка 789)

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10/11).

Еще несколько советов, которые помогут вам исправить проблему с L2TP VPN подключением в Windows