blog.bartlweb - a technologist's external brain

L2TP/IPsec-VPN-Verbindung unter Windows 7/8 zu einem Zielserver hinter einem Router mit NAT

Wer sich von einem Windows 7 bzw. Windows 8.1 Rechner mit einem VPN-Server über L2TP/IPSec hinter einem Router mit Portforwarding (UPD 500, UPD 4500) und NAT verbinden möchte wird schnell feststellen, dass dies nicht so ohne Weiteres funktioniert. Das liegt daran, wie Windows mit einer VPN-Verbindung über NAT umgeht. Ein kleiner Registry-Eingriff und die richtigen Einstellungen schaffen Abhilfe.

Lösung per Registry-Eintrag

Beheben Sie das Problem des Verbindungsaufbaus mit einem VPN-Server über eine NAT-Verbindung durch Hinzufügen des folgenden Schlüssels als DWORD-Wert (32-bit) mit dem angegebenen Wert als Hexadezimal:

AssumeUDPEncapsulationContextOnSendRule = 2

unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Meiner Erfahrung nach beschränkt sich das Problem auf Windows. Mac OS X Clients können sich ohne Probleme verbinden und benötigen keine gesonderte Konfiguration.

Konfiguration der VPN-Verbindung

Um den richtigen Verbindungstyp für die VPN-Verbindung zu nutzen, treffen Sie nach der Erstellung der VPN-Verbindung im zugehörigen Einstellungsdialog die folgenden Einstellungen im Tab Sicherheit:

    • Setzen Sie den Wert bei VPN-Typ auf Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec).
    • Öffnen Sie den Punkt Erweiterte Einstellungen und wählen Sie die Option Vorinstallierten Schlüssel für Authentifizierung verwenden. Geben Sie den am Server konfigurierten Schlüssel an.
    • Im Bereich Authentifizierung wählen Sie die Option Folgende Protokolle zulassen und aktivieren als einzige Checkbox Micrososft CHAP, Version 2 (MS-CHAP v2).

Die obigen Einstellungen gelten für eine Verbindung mit dem in Windows Server 2008 R2 integrierten VPN-Server.

Dieser Artikel hat dir deinen Tag gerettet?
... und mühevolles Probieren, Recherchieren und damit Stunden an Zeit gespart? ... oder einfach nur dein Problem gelöst?

Dann würde ich mich freuen, wenn Du meine Zeit für die Erstellung dieses Blogartikels mit einer kleinen Spende honorierst:

Kommentare

  1. Das muss auch so bei Windows 7 eingetragen werden. Dann funktioniert es.

    kommentieren

Kommentar schreiben

Deine E-Mailadresse wird nur für Benachrichtigungen und Rückfragen verwendet und wird nicht veröffentlicht.

Benachrichtigungen können jederzeit wieder abbestellt werden.

Bitte tippe die Zahlenkombination "3470" ein, nur dann kann ich deinen Kommentar entgegennehmen.

Bitte fülle dieses Feld nicht aus, nur dann kann ich deinen Kommentar entgegennehmen.