Не удается подключиться к L2TP IPsec VPN из Windows 10, но он работает с macOS High Sierra

3352
div-opn

Я пытаюсь подключиться с клиента Windows 10 к Ubiquiti EdgeRouter VPN, я прошел инструкции на https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN- Сервер, но всякий раз, когда я пытаюсь подключиться к VPN, я получаю следующее:

Не удается подключиться. Попытка подключения через L2TP не удалась, поскольку уровень безопасности не смог согласовать совместимые параметры с удаленным компьютером.

Я провел некоторое исследование и изменил свойства безопасности VPN, чтобы разрешить Microsoft CHAP версии 2 (MS-CHAP v2), а также протокол проверки подлинности при вызове (CHAP), но, похоже, это ничего не изменило.

В то же время у меня нет проблем с подключением клиента MacOS High Sierra. Так что я думаю, что на стороне клиента что-то не так (настройки Windows VPN)? Кто-нибудь может мне помочь с этим?

0

3 ответа на вопрос

0
Some Guy

Та же проблема здесь, но с Cisco Meraki. Работал нормально, пока мой ноутбук не обновился до версии 1803. Могу поспорить, у вас такая же сборка. Это было недавно вытеснено. Кажется, не имеет значения, что вы делаете - теперь что-то не так с L2TP.

Если вы все еще в сборке 1709, то вам нужно добавить правило брандмауэра, чтобы разрешить входы и выходы портов 500, 1701, 4500 UDP / TCP.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd458955(v=ws.10)

К сожалению, отключение брандмауэра или открытие портов на клиенте Windows также не помогает. Я все еще на Windows 10 1709. div-opn 6 лет назад 0
0
bcs78

Это сообщение об ошибке, вероятно, означает, что существует определенный уровень связи между Windows и Ubiquiti, но им не удалось найти общий метод шифрования. Для фазы 1 (обмен ключами) Windows (версия 1803) предлагает следующие методы шифрования (в этом порядке приоритета):

  1. SHA1 + AES-CBC-256 + ECP384
  2. SHA1 + AES-CBC-128 + ECP256
  3. SHA1 + AES-CBC-256 + MODP2048
  4. SHA1 + 3DES-CBC + MODP2048
  5. SHA1 + 3DES-CBC + MODP1024

Для фазы 2:

  1. SHA1 + AES-CBC-256
  2. SHA1 + AES-CBC-128

Удостоверьтесь, что Ubiquiti может принять одно из этих предложений, поэтому попытайтесь установить предложения фазы 1 и phase 2 для Ubiquiti примерно так.

set vpn ipsec ike-group FOO0 lifetime 86400 set vpn ipsec ike-group FOO0 proposal 1 dh-group 14 set vpn ipsec ike-group FOO0 proposal 1 encryption aes256 set vpn ipsec ike-group FOO0 proposal 1 hash sha1 set vpn ipsec esp-group FOO0 lifetime 43200 set vpn ipsec esp-group FOO0 pfs disable set vpn ipsec esp-group FOO0 proposal 1 encryption aes128 set vpn ipsec esp-group FOO0 proposal 1 hash sha1 

Я бы тоже включил NAT-Traversal:

set vpn ipsec nat-traversal enable 

Я действительно не знаю Ubiquiti, но, возможно, это помогает.

0
Jindrich Vavruska

ИМХО это ошибка в Windows 10 встроенного VPN-клиента. У меня два практически идентичных VPN-сервера, на которых работает SoftEther. С подключением VPN к первому проблем не было, так как я помню (с использованием SSTP). Второе VPN-подключение на том же ПК с Windows к VPN-серверу, практически идентично настроенному и размещенному одним и тем же провайдером в той же сети - при подключении через SSTP я мог прочитать из журнала сервера, что клиент Windows не принял или не предложил MSCHAP v2 для аутентификации. Ничто не могло решить проблему, пока однажды я не попытался изменить клиент Windows для использования L2TP / IPSec с PSK. Это связано мгновенно. Затем я просто изменил конфигурацию в Windows обратно на SSTP, и с тех пор она работает как бриз.