«

»

Gen 04

Windows connessione impossibile a VPN L2TP/IPSEC

Se state cercando di connettervi a una VPN L2TP/IPSEC da una macchina Windows e continuate a ricevere un messaggio di errore che vi segnala che è impossibile concludere la connessione nonostante i parametri siano corretti non disperate perchè potrebbe essere dovuto solo ad un NAT lato server VPN o lato client, per ovviare a questo errore è necessario agire direttamente sul registry di Windows.

 

Il problema si presenta da Windows Vista in poi, quindi anche su Windows 7, 8 e 10 ed è dovuto al differente modo di collegarsi ad una VPN L2TP/IPSEC nattata rispetto al vecchio WIndows XP.

In pratica a seconda del tipo di NAT impostato sul router / firewall che protegge il server VPN a cui vi state collegando oppure il NAT che viene applicato alla vostra connessione client in uscita potrebbe capitarvi una segnalazione di connessione impossibile verso la VPN oppure degli errori di connessione alla VPN con codici 794, 800 o 809 come da esempio seguente :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

La soluzione è applicare questa piccola modifica al registry in modo che il client possa collegarsi anche se il server VPN o il vostro client sono dietro un NAT, i passaggi da fare sono :

  • Aprite l’editor di registro col comando START -> ESEGUI -> REGEDIT (come Amministratore)
  • Posizionatevi sul percorso :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent
  • create una nuova voce DWORD e chiamatela :
    AssumeUDPEncapsulationContextOnSendRule
  • assegnate alla voce appena creata il valore :
    2
  • Chiudete REGEDIT e riavviate il sistema

Se non volete agire direttamente sul registry fate copia e incolla del testo qui sotto nel Blocco Note :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
“AssumeUDPEncapsulationContextOnSendRule”=dword:00000002

salvate il file con un nome qualsiasi sul desktop facendo attenzione a mettere .REG come estensione finale del file, esempio VPN.REG , ora fate doppio click sul file .REG appena creato e confermate l’inserimento dei dati nel registry, quindi riavviate il sistema.

Riprovate la connessione e dovreste riuscire a portare a termine il collegamento verso la VPN L2TP/IPSEC con successo.

Se invece il problema persiste ed il server VPN a cui vi collegate è sotto il vostro controllo ed è una macchina Windows Server 2008 o successive potrebbe essere necessario applicare la stessa modifica anche al registry  lato server VPN, ovviamente dipende da caso a caso perchè la variabile in gioco è il tipo di NAT che viene applicato dal vostro firewall / router, quindi se le cose non vanno vale la pena di fare la prova anche lato server.

 

Il problema è noto ed è spiegato in questo articolo tecnico di Microsoft :

https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows

 

Se il server VPN è vostro verificate anche di aver aperto le porte corrette in ingresso sul vostro firewall / router in modo che sia raggiungibile da Internet, ve le riassumo qui :

Le porte da aprire sul firewall per la VPN L2TP/IPSEC sono :

– UDP 500 IKE
– UDP 1701 L2TP
– UDP 4500 NAT-T
– protocol 50 ESP

mentre per l’altro protocollo molto usato su Windows per l’accesso remoto, il vecchio VPN PPTP sono :

– TCP 1723 PPTP
– protocol 47 GRE

In caso di ulteriori problemi controllate i logs di server, client e firewall per capire dove state sbagliando.

 

9 commenti

Vai al modulo dei commenti

  1. AndreaA

    Salve, ho una ADSL Fastweb con Fastgate, da alcuni giorni non riesco più a collegarmi alla vpn aziendale (vpnpme.aubay..it 84.14.18.93).
    Nei file di registro è già presente la voce AssumeUDPEncapsulationContextOnSendRule…
    Avete altri suggerimenti?
    Grazie

    1. mdede

      Provi a contattare il supporto clienti Fastweb e gli spieghi il problema (so per certo che per esempio le VPN PPTP non passano su linee Fastweb), credo possa richiedere anche un indirizzo IP pubblico sulla linea (a pagamento), questo modo di solito tutte le tipologie di VPN funzionano.

      Avvisi anche il supporto IT della sua azienda per vedere se hanno altri tipi di VPN che potete usare al posto di quella che non sta funzionando ora, per esempio OPEN VPN o qualche programma client proprietario come Cisco, Fortinet, ecc… a seconda del tipo di firewall che usate in azienda.

      Saluit ed auguri

  2. peppe

    salve, ho creato una vpn pptp su un server 2019 windows, quando mi collego da client con windows 10 si connette alla vpn ma non riesco a navigare con firefox, avete una soluzione?
    ho seguito anche questo suggerimento

    create una nuova voce DWORD e chiamatela :
    AssumeUDPEncapsulationContextOnSendRule
    assegnate alla voce appena creata il valore :
    2

    e fatto pure questo
    mentre per l’altro protocollo molto usato su Windows per l’accesso remoto, il vecchio VPN PPTP sono :

    – TCP 1723 PPTP
    – protocol 47 GRE

    1. mdede

      La voce del registry descritta nel ns. articolo è relativa solo alle VPN L2TP; se ho ben capito lei sta usando una VPN PPTP che essendo basata sul protocollo TCP non (porta 1723) non dovrebbe avere problemi di NAT a meno che il suo provider interet filtri il traffico TCP 1723 (molti lo fanno purtroppo).

      Sicuro che riesce a collegarsi alla VPN PPTP ?

      Le viene assegnato un indirizzo IP compatibile con la sua Lan o con la subnet che ha dedicato alla VPN ?
      (lo vede digitando IPCONFIG dal prompt dei comandi : CMD.EXE)

      Riesce a fare un ping verso la sua Lan interna ? e verso un indirizzo internet ? (es. 1.1.1.1) ?

      Se NO alla risposta sopra : se fa un TRACERT 1.1.1.1 dove si blocca il traffico ?

      Il problema si solo con Firefox o anche con altri browsers ? (IE, Edge, Chrome ?)

      Saluti.

  3. peppe

    si pure con altri browsers non riesco a collegarmi, una volta avviata la connessione vpn da client riesco solo a comunicare con il server dove è installata la vpn ma non ce instradamento di internet sul client, come se il server dove è installato la vpn mi blocca qualcosa,
    come faccio a capire se la porta tcp 1723 è bloccata?

    1. mdede

      Dovrebbe fare le prove che le dicevo sopra….apra il prompt dei comandi (CMD.EXE) e quindi :

      IPCONFIG

      PING

      TRACERT

      (veda mia risposta precedente….)

      Saluti.

  4. peppe

    questo e ipconfig da client
    Scheda Ethernet Ethernet:

    Suffisso DNS specifico per connessione: station
    Indirizzo IPv6 locale rispetto al collegamento . : fe80::e938:3da5:1059:99e0%25
    Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.10
    Subnet mask . . . . . . . . . . . . . : 255.255.255.0
    Gateway predefinito . . . . . . . . . : 192.168.1.1

    Esecuzione di Ping 1.1.1.1 con 32 byte di dati:
    Richiesta scaduta.
    Richiesta scaduta.
    Richiesta scaduta.
    Richiesta scaduta.

    Statistiche Ping per 1.1.1.1:
    Pacchetti: Trasmessi = 4, Ricevuti = 0,
    Persi = 4 (100% persi),

    Traccia instradamento verso one.one.one.one [1.1.1.1]
    su un massimo di 30 punti di passaggio:

    1 <1 ms <1 ms <1 ms DESKTOP-BTGIJR7.station [192.168.1.10]
    2 * * * Richiesta scaduta.
    3 * * * Richiesta scaduta.
    4 * * * Richiesta scaduta.
    5 * * * Richiesta scaduta.
    6 * * * Richiesta scaduta.
    7 * * * Richiesta scaduta.
    8 * * * Richiesta scaduta.
    9 * * * Richiesta scaduta.
    10 * * * Richiesta scaduta.
    11 * * * Richiesta scaduta.
    12 * * * Richiesta scaduta.
    13 * * * Richiesta scaduta.
    14 * * * Richiesta scaduta.
    15 * * * Richiesta scaduta.
    16 * * * Richiesta scaduta.
    17 * * * Richiesta scaduta.
    18 * * * Richiesta scaduta.
    19 * * * Richiesta scaduta.
    20 * * * Richiesta scaduta.
    21 * * * Richiesta scaduta.
    22 * * * Richiesta scaduta.
    23 * * * Richiesta scaduta.
    24 * * * Richiesta scaduta.
    25 * * * Richiesta scaduta.
    26 * * * Richiesta scaduta.
    27 * * * Richiesta scaduta.
    28 * * * Richiesta scaduta.
    29 * * * Richiesta scaduta.
    30 * * * Richiesta scaduta.

    Traccia completata.

    questi sono i risultati se ho la vpn da client connessa.

    1. mdede

      Scusi se insisto ma secondo me NON si sta collegando alla VPN, se fosse collegato alla vpn digitando IPCONFIG dovrebbe vedere 2 indirizzi assegnati al suo pc , uno è quello locale della sua rete domestica e l’altro è quello assegnato dalla vpn remota a cui si è collegato, esempio :

      Scheda PPP VPN
      Suffisso DNS specifico per connessione:
      Indirizzo IPv4. . . . . . . . . . . . : 10.1.0.11
      Subnet mask . . . . . . . . . . . . . : 255.255.255.255
      Gateway predefinito . . . . . . . . . : 0.0.0.0

      Scheda Ethernet Connessione alla rete locale (LAN):
      Suffisso DNS specifico per connessione:
      Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.10
      Subnet mask . . . . . . . . . . . . . : 255.255.255.0
      Gateway predefinito . . . . . . . . . : 192.168.1.1

      Mentre dal suo comando ipconfig io vedo solo la sua rete locale e basta… o sbaglio ?

      Saluti.

  5. Erminio

    Saluti, ho provato a seguire il suo suggerimento, ma ho ancora problemi a connettermi alla mia VPN IPsec L2TP del mio modem D-Link.
    Possiamo parlarne via mail?
    Grazie.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>