L2TP/IPsec-VPN-Verbindung unter Windows 7/8 zu einem Zielserver hinter einem Router mit NAT
Wer sich von einem Windows 7 bzw. Windows 8.1 Rechner mit einem VPN-Server über L2TP/IPSec hinter einem Router mit Portforwarding (UPD 500, UPD 4500) und NAT verbinden möchte wird schnell feststellen, dass dies nicht so ohne Weiteres funktioniert. Das liegt daran, wie Windows mit einer VPN-Verbindung über NAT umgeht. Ein kleiner Registry-Eingriff und die richtigen Einstellungen schaffen Abhilfe.
Lösung per Registry-Eintrag
Beheben Sie das Problem des Verbindungsaufbaus mit einem VPN-Server über eine NAT-Verbindung durch Hinzufügen des folgenden Schlüssels als DWORD-Wert (32-bit) mit dem angegebenen Wert als Hexadezimal:
AssumeUDPEncapsulationContextOnSendRule = 2
unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Meiner Erfahrung nach beschränkt sich das Problem auf Windows. Mac OS X Clients können sich ohne Probleme verbinden und benötigen keine gesonderte Konfiguration.
Konfiguration der VPN-Verbindung
Um den richtigen Verbindungstyp für die VPN-Verbindung zu nutzen, treffen Sie nach der Erstellung der VPN-Verbindung im zugehörigen Einstellungsdialog die folgenden Einstellungen im Tab Sicherheit:
- Setzen Sie den Wert bei VPN-Typ auf Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec).
- Öffnen Sie den Punkt Erweiterte Einstellungen und wählen Sie die Option Vorinstallierten Schlüssel für Authentifizierung verwenden. Geben Sie den am Server konfigurierten Schlüssel an.
- Im Bereich Authentifizierung wählen Sie die Option Folgende Protokolle zulassen und aktivieren als einzige Checkbox Micrososft CHAP, Version 2 (MS-CHAP v2).
Die obigen Einstellungen gelten für eine Verbindung mit dem in Windows Server 2008 R2 integrierten VPN-Server.
Das muss auch so bei Windows 7 eingetragen werden. Dann funktioniert es.