Windows RRAS VPN L2TP/IPSec-Server und clients, jeweils hinter NAT

Problem

Man hat einen Windows Server 2012/2016 Routing und RAS (RRAS) Server als VPN-Einwahlpunkt installiert. Dann hat man das L2TP/IPsec aktiviert, den Server mit einem PSK (Preshared Key) versehen und die notwendigen Port-Forwardings in der Firewall konfiguriert. Bei einem internen Test klappt das auch super – bis man endlich wieder zuhause ist und sich durch sein eigenes NAT einwählen möchte. Dann sagt Windows 10 plötzlich nur noch:

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router, usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wendenn Sie sich an den Administrator oder den Dienstanbieter , um zu ermitteln, welches Gerät das Problem verursacht.

Lösung

Das Problem ist wahrscheinlich nicht ein „Netzwerkgerät“ zwischen dem Computer und dem VPN (Internet), sondern eine Voreinstellung von Windows 10 die einseitiges und doppeltes NAT-T verhindert.

Fix: Windows L2TP NAT Registry-Patch (herunterladen) »

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Auf Server und Client eintragen/ausführen + Reboot (!), fertig.

Die lange Erklärung

Sind beide Parteien (VPN/RRAS-Server und Client) jeweils hinter einem NAT versteckt (Stichwort NAT-T-Umgebung, also mit Traversal) muss man einen Registrierungswert auf dem VPN-Client-Computer und dem VPN-Server ändern.

  1. Regedit als Administrator ausführen
  2. Den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent öffnen
  3. Den DWORD-Wert (32bit) „AssumeUDPEncapsulationContextOnSendRule“ einfügen und auf „2“ stellen

Diese Werte sind möglich

    • 0 – (null) lässt keine Sicherheitszuordnungen hinter NAT (NAT-T) zu. Dies ist der Standardwert.
    • 1 – lässt Sicherheitsassoziationen mit Servern zu, die sich hinter NAT-Geräten befinden (einseitiges NAT, Server).
    • 2 – lässt Sicherheitsassoziationen mit Servern zu, wenn sich Server und Client hinter NAT befinden (zweisitiges NAT-Traversal).

Unserer Meinung nach könnte Microsoft hier einen etwas sinnvolleren Standardwert vorgeben … zum Beispiel „2“. Windows ist übrigens das einzige „Massenbetriessystem“ das standardmäßig kein IPsec über NAT-T unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.