Настройка L2TP / IPSec VPN в Windows 10 – Инструкция

Ниже — пошаговая инструкция, как настроить VPN L2TP подключение в Windows 10 и предыдущих версиях ОС, включая Windows 7 и 8. Показывать я буду на примере ручной настройки домашнего Интернета Билайн, но шаги из инструкции подойдут и для других провайдеров, предоставляющих услуги по этому протоколу, а также для коммерческих сервисов VPN, работающих по L2TP.

Создание VPN подключения L2TP

Шаги по настройке Интернета L2TP или подключения к VPN в Windows 10 (также как и в 8 и 7) будут следующими:

1. Кликните правой кнопкой мыши по значку подключения в области уведомлений Windows и выберите пункт «Центр управления сетями и общим доступом».
2. Нажмите «Создание и настройка нового подключения или сети». 
3. Выберите «Подключение к рабочему месту» и нажмите «Далее». 
4. Если вам будет предложено выбрать имеющееся подключение, выберите «Нет, создать новое подключение».
5. Выберите пункт «Использовать мое подключение к Интернету (VPN)»
6. На следующем экране либо выберите интернет-подключение (подключение по локальной сети в случае с Билайн), либо, для некоторых провайдеров, выберите «Отложить настройку подключения к Интернету». 
7. В следующем окне в поле «Адрес в Интернете» введите адрес VPN-сервера L2TP. Для домашнего Интернета Билайн это l2tp.internet.beeline.ru а поле «Имя объекта назначения» заполните на свое усмотрение (это будет имя подключения). 
8. После нажатия кнопки «Создать» вы вернетесь в центр управления сетями и общим доступом. Нажмите в левой его части «Изменение параметров адаптера».
9. Кликните правой кнопкой мыши по вновь созданному L2TP соединению и нажмите «Свойства», а затем перейдите на вкладку «Безопасность». 
10. В поле «Тип VPN» укажите «Протокол L2TP с IPSec», остальные параметры обычно можно не менять (такую информацию должен предоставить провайдер Интернета или VPN, но обычно все работает автоматически). 
11. Сохраните сделанные настройки.

Вот и все, теперь можно подключаться.

Для подключения к L2TP достаточно кликнуть левой (стандартной) кнопкой мыши по значку соединения и выбрать нужное подключение в списке доступных. При первом подключении у вас также будет запрошен логин и пароль (в случае Билайна — логин и пароль для Интернета) для авторизации.

Дополнительно: в Windows 10 и Windows 8 некоторых случаях при подключении L2TP могут возникать различного рода ошибки, причем не всегда связанные с объективными факторами, такими как неверные данные авторизации или недоступность VPN-сервера.

Часть из них может быть вызвано включенным протоколом IPv6 в свойствах L2TP соединения на вкладке «Сеть», некоторые другие ошибки могут быть также вызваны неправильными настройками подключения по локальной сети (как правило, следует выставить получение IP и DNS автоматически, подробнее — Настройка подключения Ethernet при настройке роутера.

Может быть полезным и интересным:

Нажмите кнопку “Пуск” в панели задач Windows (1) и выберите “Параметры” (2).

В открытом окне “Параметров” Windows кликните подраздел “Сеть и Интернет”.

В меню “VPN” (1) перейдите к пункту “Добавление VPN-подключения” (2).

• (1) “Поставщик услуг VPN” – Windows;
• (2) “Имя подключения” – любое удобное вам имя VPN-подключения;
• (3) “Имя или адрес сервера” – IP-адрес вашего VPNext-сервера из письма;
• (4) “Тип VPN” – L2TP/IPsec с предварительным ключом;
• (5) “Общий ключ” – vpnext;
• (6) “Тип данных для входа” – Имя пользователя и пароль;
• (7) “Имя пользователя” –  заданное вами при настройке сервера;
• (8) “Пароль” – заданный вами при настройке сервера.(Не путать с логином/паролем от Личного Кабинета).

Нажмите «Сохранить».

VPN-профиль успешно создан (1) в Windows. Перейдите к разделу “Сопутствующие параметры” и выберите “Центр управления сетями и общим доступом” (2).

В новом окне сведений о сети выберите “Изменение параметров адаптера”.

Кликните правой кнопкой мыши на сетевом подключении с выбранным вами именем профиля (1) и в функциональном меню выберите “Свойства” (2).

На вкладке “Безопасность” (1) установите:

• (2) “Тип VPN” – протокол L2TP с IPSec;
• (3) “Шифрование данных” – самое стойкое;
• (4) “Разрешить следующие протоколы” – оба пункта “Протокол проверки CHAP…”.

В свойствах протокола нажмите “Дополнительные параметры” (1) и в новом окне введите ключ – vpnext (2), если вы не сделали этого на Шаге 4.

После всех настроек нажмите кнопку “ОК”.

Перейдите ко вкладке “Сеть” (1) и выберите “IP версии 4” (2), после чего нажмите кнопку “Свойства” (3).

Выберите автоматическое получение IP-адреса и автоматическое получение адреса DNS-сервера (1).

После изменения сетевой конфигурации нажмите кнопку “ОK” (3).

Для подключения к VPN нажмите на значок сети (1) в правом нижнем углу панели задач Windows. Затем выберите созданный ранее профиль (2).

4 октября 2015 г. 17:59:30

b.VPN предлагает пользователю одновременно два соединения VPN. Поэтому, если вы хотели бы воспользоваться услугой b.VPN на двух устройствах одновременно, вы можете использовать приложение b.VPN на одном устройстве и вручную настроить соединение L2TP VPN на другом.Инструкция по настройке L2TP VPN на Windows 10.

Важно:

* Вернитесь на страницу профиля, чтобы просмотреть список доступных серверов L2TP VPN и соответствующий “Shared Key”.

* Ваше имя пользователя и пароль, вы зарегистрировали адрес электронной почты и пароль на b.VPN.

* Вы должны оплатить и быть платным пользователем, чтобы использовать L2TP VPN-соединение.

Выполните следующие шаги для настройки L2TP VPN на Windows 10:

Введите в поиске«Панель управления» и нажмите на первый результат.

Нажмите на кнопку «Сеть и Интернет».

Нажмите на «Сеть и окружение».

Нажмите на кнопку «Настройка нового подключения или сети».

Нажмите на кнопку «Подключение к рабочему месту», а затем «Далее».

Теперь нажмите на «Использовать мое подключение к Интернету (VPN)».

В поле «Адрес сервера» вставьте любой сервер b.VPNкоторый вам подходит. (например, ca.usa.bvpn.com).

В поле «Имя назначения» вставьте любое имя, которое вы предпочитаете.  Тем не менее, мы рекомендуем использовать адрес сервера снова. (ca.usa.bvpn.com)

Нажмите кнопку «Создать».

Нажмите на иконку соединения в панели задач, и нажмите на название соединения, которое вы только что создали.

В меню снизу, выберите «Параметры изменения адаптера».

Щелкните правой кнопкой мыши на названии соединения и выберите «Свойства».

Нажмите на вкладку «Безопасность». Из меню «Тип VPN»в выпадающем меню выберите «Layer 2 TunnelingProtocolwithIPsec (L2TP/IPsec)».

Нажмите на «Расширенные настройки».

Выберите «Использовать общий ключ для аутентификации» и вставьте соответствующий ключ. Нажмите кнопку «Oк».

Выберите «Разрешить эти протоколы», и проверьте все 3 протокола. Нажмите кнопку «ок».

Снова нажмите на иконку соединения и выберите VPNсоединение, которое вы создали.

Нажмите «Подключиться».

Введитеваше b.VPN имя пользователя и пароль, и нажмите кнопку «Oк».

Подождите, пока подключится.

Вы успешно настроили подключение L2TPVPN на Windows 10.

Подключение VPN может потребоваться для доступа к офисным ресурсам, северам.

Чтобы настроить VPN, вам потребуются следующие данные:

– адрес сервера VPN;

– тип подключения;

– имя пользователя и пароль;

– общий ключ шифрования для подключения.

1. Нажмите на значок уведомлений в правом нижнем углу экрана

2. Выберите Виртуальная сеть (VPN).

3. В новом окне Параметры выберите Добавить VPN-подключение.

4. Укажите следующие данные:

Поставщик услуг VPN – Windows (встроенные).

Имя подключения – удобное для вас имя подключения, например Office.

Имя или адрес сервера – адрес сервера VPN.

Тип VPN – L2TP/IPsec с предварительным ключом.

Общий ключ – общий ключ шифрования для подключения.

Тип данных для входа – Имя пользователя и пароль.

Имя пользователя – Имя пользователя для подключения.

Пароль – Пароль для подключения.

Поставьте галочку напротив Запомнить мои данные для входа.

Нажмите Сохранить.

5. Выберите Подключиться.

6. Дождитесь окончания подключения и закройте окно Параметры.

После того, как вы закончили работать с подключением, рекомендуется отключиться от VPN.

1. Нажмите на значок уведомлений в правом нижнем углу экрана

2. Выберите Виртуальная сеть (VPN).

3. Выберите Отключиться и закройте окно Параметры.

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты.  Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

Если подключаться к этому же VPN серверу через PPTP, подключение успешно устанавливается.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра regedit.exe и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

В некоторых случаях для корректной работы VPN необходимо открыть дополнительное правило в межсетевом экране для порта TCP 1701 (в некоторых реализациях L2TP этот порт используется совмести с UDP 1701). NAT-T не корректно работал в ранних редакциях Windows 10, например, 10240, 1511, 1607. Если у вас старая версия, рекомендуем обновить билд Windows 10.

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

Используемые источники:

• https://nastroika.pro/l2tp-windows/
• https://vp-next.com/manual-windows-10/
• https://www.bvpn.com/ru/faq/95/
• https://help.shortcut.ru/hc/ru/articles/229054168-как-подключиться-к-vpn-по-l2tp-в-windows-10
• https://winitpro.ru/index.php/2017/10/24/reshaem-problemu-podklyucheniya-k-l2tp-ipsec-vpn-serveru-za-nat/