Ошибка 792 l2tp windows xp

Обновлено: 04.07.2024

Изначально, не планировал выделять для данного материала отдельный пост, но так как проблема не решается годами, решил рассказать о ней чуть подробнее. Проблема заключается в том, что из локальной сети, имеющей единственный выход в Интернет, невозможно установить одновременно более одного соединения к внешнему L2TP/IPSec VPN серверу с компов под управлением Windows.

Допустим, у вас заведено несколько пользователей на внешнем VPN L2TP сервере. По отдельности, каждый из них спокойно устанавливает соединение с сервером и работает стабильно, без сбоев. Любые попытки одновременной работы с VPN сервером других пользователей сети, использующих один внешний IP, прерывают работу друг друга, возвращая в журнал Windows код ошибки 809 .

Наблюдается такой эффект исключительно на компьютерах под управлением ОС Windows, начиная с XP и заканчивая «десяткой». Причём на Linux и MacOS всё прекрасно работает вне зависимости от того, сколько одновременно клиентов подключается к удалённому L2TP/IPSec серверу. Так что это проблема не в настройках VPN сервера или роутера, как пишут на многих форумах (да и сами мелкомягкие), а именно в некорректной работе встроенного L2TP/IPSec клиента на Windows.

Честно говоря, ранее эта проблема обходила меня стороной. Всегда использовал OpenVPN и столкнулся с ней впервые только сейчас, после поднятия L2TP VPN-сервера на роутере Keenetic . После чего и было принято решение объединять сети офисов между собой, а не давать доступ отдельным клиентам, но об этом расскажу в следующей статье.

Есть ли решение проблемы при работе с L2TP/IPSec в Windows?

Если совсем кратко, то там говорится что в случае, когда VPN сервер L2TP/IPsec находится за NAT, для корректного подключения внешних клиентов через NAT необходимо на стороне сервера и клиента внести изменение в реестр, разрешавшее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

К сожалению, добавление в реестр параметра UDPEncapsulationContextOnSendRule 2 , о котором также написано в статье, проблемы не решает. В сети можно найти упоминание пары дополнительных ключей реестра и отключении одной службы, связанной с играми, но вся эта неведомая магия не работает. Как только появляется другой клиент под виндой, твоё соединение отваливается.

Чтобы получить хоть какую-то пользу (кроме моего негативного опыта) от моего поста, собрал несколько ссылок по теме L2TP/IPsec и NAT-T в Windows:

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

Невозможно использовать это подключение во время загрузки, поскольку оно настроено на использование смарт-карты. Измените свойства этого подключения, чтобы использовались данные смарт-карты.

Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
Обратитесь к системному администратору. Текущая настройка параметров L2TP несовместима с реализацией протокола L2TP корпорации Майкрософт.

Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
Обратитесь к системному администратору.

Обратитесь к системному администратору. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам:
- Возможно, удаленный сервер выключен;
- На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
- Ваше подключение не настроено на использование правильных учетных данных.

Проверьте работу подключения к Интернету. Если подключение работает, свяжитесь со своим системным администратором. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам.
- Возможно, удаленный сервер выключен;
- На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
- Ваше подключение не настроено на использование правильных учетных данных;
- Ваше подключение настроено на использование метода безопасности, отличного от метода безопасности удаленного компьютера. Проверьте настройки безопасности. Попробуйте изменить тип VPN-подключения. Чтобы изменить тип VPN-подключения, щелкните подключение правой кнопкой мыши, выберите команду Свойства , а затем просмотрите сведения на вкладке Сеть .

Обратитесь к системному администратору. Вероятно, сбой Вашего подключения происходит по одной или нескольким следующим причинам:
- Возможно, удаленный сервер выключен;
- На сервере, к которому Вы обращаетесь, нет правильных учетных данных;
- Ваше подключение не настроено на использование правильных учетных данных;
- Компьютер использует недействительный общий секретный ключ. Попробуйте воспользоваться другим общим ключом.

В удаленной сети должен быть настроен атрибут для данного подключения. Свяжитесь с администратором удаленной сети.

В удаленной сети должен быть настроен атрибут для данного подключения. Свяжитесь с администратором удаленной сети.

Для данного подключения требуется модем. Выполните следующие действия:
- Закройте все программы и повторите попытку установить подключение. Возможно, модем или коммуникационный порт, к котором он подключен, используется другой программой;
- Убедитесь, что на компьютере установлен модем;
- Проверьте правильность функционирования модема.

ICS требует, чтобы узел был настроен на использование адреса 192.168.0.1. Убедитесь, что никакой другой клиент сети не использует адрес 192.168.0.1. Проверьте IP-адреса всех компьютеров, подключенных к локальной сети и при необходимости измените их.


Возможные причины: «Попытка L2TP-подключения не удалась из-за ошибки обработки на уровне безопасности во время первых переговоров с удаленным компьютером».

  • VPN-клиент на базе L2TP (или VPN-сервер) находится за NAT.
  • Поддельный сертификат или предварительный ключ размещается на VPN-сервере или клиенте.
  • Сертификат доверенного компьютера или сертификат корневого компьютера отсутствует на сервере VPN.
  • Сертификат машины на сервере VPN не имеет «аутентификации сервера» как EKU.

Перезагрузите сетевой адаптер VPN.


  1. Щелкните правой кнопкой мыши «Пуск» и выберите «Диспетчер устройств».
  2. Найдите «Сетевые адаптеры» и щелкните раскрывающееся меню, чтобы развернуть список.
  3. Найдите свой сетевой адаптер.
  4. Щелкните правой кнопкой мыши и выберите «Удалить».
  5. Теперь нажмите «ОК».
  6. Перезагрузите систему.

Ноябрьское обновление 2021:

Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows - нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:

скачать

Изменение параметров IPSEC

  • Откройте Инструменты администрирования из Панели управления.
  • Дважды щелкните по Сервисам.
  • Поиск услуг IPSEC. (ike и AuthIP IPsec Keying Modules, агент политики IPsec) Убедитесь, что тип запуска является автоматическим и что статус установлен на Пуск. При необходимости дважды щелкните Службы IPsec, чтобы изменить эти настройки.
  • Если он не «запущен», щелкните правой кнопкой мыши, чтобы запустить его.
  • Щелкните правой кнопкой мыши и выберите Свойства. Для «Тип запуска» выберите «Автоматически» и сохраните.
  • Проверьте соединение VPN.
  • Перезапустите VPN-соединение и проверьте его.

Активация MS-CHAP v2


  1. Убедитесь, что VPN-соединение правильно настроено для соответствия идентификационной информации VPN-сервера, к которому вы пытаетесь подключиться, и добавьте соединение.
  2. Как только соединение добавлено, оно появится в списке сетевых адаптеров.
  3. Нажмите Windows + R, чтобы открыть командную строку «Выполнить».
  4. Введите «ncpa.cpl» и нажмите «Enter», чтобы открыть настройки сетевого адаптера.
  5. Щелкните правой кнопкой мыши добавленное соединение «VPN» и выберите «Свойства».
  6. Щелкните вкладку «Безопасность» и активируйте параметр «Разрешить эти протоколы».
  7. Активируйте опцию «Microsoft-CHAP Version 2» и нажмите «OK».
  8. Попробуйте подключиться к VPN и убедитесь, что проблема сохраняется.

CCNA, веб-разработчик, ПК для устранения неполадок

Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.

Настройки клиента (Win7):

В общем все вроде как строго по мануалу делал, но все равно не работает
Насколько я понимаю дело не в сетевых правилах, т.к. ошибка происходит еще в момент самого подключения..
Если у кого есть какие нибудь идеи, что еще можно проверить, пожалуйста подскажите.

Смотрите внимательнее, у вас показан только лог начала подключения (по IKE порту), а самих событий IPsec вы не показали.

_________________
Хотите хороший девайс? D-Link DFL!

Изображение

Изображение

Сделал по той же инструкции на DLF-1660 и в логах получаю следующее
Подскажите что нужно прописать в FW чтобы пропускал? У вас клиент часом не "патченый", чтобы поднимать чистый L2TP? (например, прямое поключение к Билайн)

_________________
Хотите хороший девайс? D-Link DFL!

Изображение

Смотрите внимательнее, у вас показан только лог начала подключения (по IKE порту), а самих событий IPsec вы не показали.
Так их в логе и не было. была только информация о начале соединения и его окончании. я эти строки в скриншоте и привел.
В общем помогла мне команда ikesnoop оказалось проблема была в несоответствии ключей шифрования (видимо из за разных кодировок).. изменил его на ключ из цифр и все прошло. Туннель поднялся.
Но появилось еще несколько вопросов:
1. На клиенте при подключении интерфейсу VPN назначается ип адрес 192.168.2.10 (из пула который я и создал для VPN подключений) и еще в свойствах интерфейса есть строка ип адрес сервера 192.168.1.150 (это адрес лан интерфейса ДФЛ). Подскажите, для чего он выдается интерфейсу при подключении (он ведь принадлежит внутренней сети за ДФЛ). Видимо я чего то не допонимаю.
2. Какой адрес использовать в качестве адреса шлюза у клиента на интерфейсе VPN для доступа к внутренней сети за ДФЛ?
На данный момент происходит следующее: После подключения VPN у клиента пропадает доступ в интернет (видимо весь трафик заворачивается в туннель).
3. Как правильно разрулить данную ситуацию? Нужно чтобы в туннель направлялся только трафик для сети за ДФЛ 192.168.1.0/24 В общем помогла мне команда ikesnoop оказалось проблема была в несоответствии ключей шифрования (видимо из за разных кодировок).. изменил его на ключ из цифр и все прошло. Туннель поднялся После подключения VPN у клиента пропадает доступ в интернет (видимо весь трафик заворачивается в туннель).

Следуя мануалу по DFL для того чтобы подключившиеся клиенты видели интернет в IP Rules создается еще одно правило:
Action: NAT
Service: all_services
Src Interface: ipsec_tunnel (туннель созданный в разделе IPsec)
Src Network: l2tp_pool (пул адресов созданный вами для клиентов l2tp)
Dest Interface: Wan
Dest Network: all-nets

И проверьте чтобы в IPsec туннеле была снята галочка на Add route for remote network

Читайте также: