«

»

Gen 04

Windows connessione impossibile a VPN L2TP/IPSEC

Se state cercando di connettervi a una VPN L2TP/IPSEC da una macchina Windows e continuate a ricevere un messaggio di errore che vi segnala che è impossibile concludere la connessione nonostante i parametri siano corretti non disperate perchè potrebbe essere dovuto solo ad un NAT lato server VPN o lato client, per ovviare a questo errore è necessario agire direttamente sul registry di Windows.

 

Il problema si presenta da Windows Vista in poi, quindi anche su Windows 7, 8 e 10 ed è dovuto al differente modo di collegarsi ad una VPN L2TP/IPSEC nattata rispetto al vecchio WIndows XP.

In pratica a seconda del tipo di NAT impostato sul router / firewall che protegge il server VPN a cui vi state collegando oppure il NAT che viene applicato alla vostra connessione client in uscita potrebbe capitarvi una segnalazione di connessione impossibile verso la VPN oppure degli errori di connessione alla VPN con codici 794, 800 o 809 come da esempio seguente :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

La soluzione è applicare questa piccola modifica al registry in modo che il client possa collegarsi anche se il server VPN o il vostro client sono dietro un NAT, i passaggi da fare sono :

  • Aprite l’editor di registro col comando START -> ESEGUI -> REGEDIT (come Amministratore)
  • Posizionatevi sul percorso :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent
  • create una nuova voce DWORD e chiamatela :
    AssumeUDPEncapsulationContextOnSendRule
  • assegnate alla voce appena creata il valore :
    2
  • Chiudete REGEDIT e riavviate il sistema

Se non volete agire direttamente sul registry fate copia e incolla del testo qui sotto nel Blocco Note :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
“AssumeUDPEncapsulationContextOnSendRule”=dword:00000002

salvate il file con un nome qualsiasi sul desktop facendo attenzione a mettere .REG come estensione finale del file, esempio VPN.REG , ora fate doppio click sul file .REG appena creato e confermate l’inserimento dei dati nel registry, quindi riavviate il sistema.

Riprovate la connessione e dovreste riuscire a portare a termine il collegamento verso la VPN L2TP/IPSEC con successo.

Se invece il problema persiste ed il server VPN a cui vi collegate è sotto il vostro controllo ed è una macchina Windows Server 2008 o successive potrebbe essere necessario applicare la stessa modifica anche al registry  lato server VPN, ovviamente dipende da caso a caso perchè la variabile in gioco è il tipo di NAT che viene applicato dal vostro firewall / router, quindi se le cose non vanno vale la pena di fare la prova anche lato server.

 

Il problema è noto ed è spiegato in questo articolo tecnico di Microsoft :

https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows

 

Se il server VPN è vostro verificate anche di aver aperto le porte corrette in ingresso sul vostro firewall / router in modo che sia raggiungibile da Internet, ve le riassumo qui :

Le porte da aprire sul firewall per la VPN L2TP/IPSEC sono :

– UDP 500 IKE
– UDP 1701 L2TP
– UDP 4500 NAT-T
– protocol 50 ESP

mentre per l’altro protocollo molto usato su Windows per l’accesso remoto, il vecchio VPN PPTP sono :

– TCP 1723 PPTP
– protocol 47 GRE

In caso di ulteriori problemi controllate i logs di server, client e firewall per capire dove state sbagliando.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi usare i seguenti tag ed attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

code