L2tp 809 error windows 10

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

Если подключаться к этому же VPN серверу через PPTP, подключение успешно устанавливается.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра
   regedit.exe
   и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
   

   Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:

   • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

В некоторых случаях для корректной работы VPN необходимо открыть дополнительное правило в межсетевом экране для порта TCP 1701 (в некоторых реализациях L2TP этот порт используется совмести с UDP 1701).

NAT-T не корректно работал в ранних редакциях Windows 10, например, 10240, 1511, 1607. Если у вас старая версия, рекомендуем обновить билд Windows 10.

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

VPN, также известная как виртуальная частная сеть, является обязательной услугой для повышения вашей конфиденциальности в Интернете при просмотре веб-страниц. Будь то безопасность и отсутствие отслеживания ваших действий по поджариванию или просмотр фильмов и телешоу, заблокированных в вашем регионе, VPN, безусловно, может стать благом в сегодняшнюю цифровую эпоху.

Вы когда-нибудь сталкивались с ошибкой 809 при подключении к VPN на своем ПК с Windows 10? Да, ошибка 809 – это распространенная ошибка VPN, которая не позволяет установить соединение между устройством (локальным клиентом) и удаленным сервером.

Вот все, что вам нужно знать об ошибке 809 VPN, почему она возникает и как мы можем успешно решить эту проблему, чтобы установить безопасное соединение без каких-либо препятствий.

Что такое ошибка VPN 809? Почему это вызвано?

Ошибка VPN 809 чаще всего возникает, когда ваше устройство не может подключиться к серверу VPN из-за наличия брандмауэра, который блокирует порты VPN.

Общие причины:

• Заблокированные порты VPN.
• Неверное значение в реестре Windows
• Неверно настроенные параметры PAP.
• Вмешательство сторонних приложений и сервисов.

Как исправить ошибку VPN 809 в Windows 10

Вот несколько полезных решений, которые позволят вам устранить ошибку 809 на ПК с Windows.

Решение №1: отредактируйте реестр Windows

1. Нажмите сочетание клавиш Windows + R, чтобы открыть окно «Выполнить».
2. Введите «Regedit» в поле поиска и нажмите Enter.
3. В окне редактора реестра перейдите по следующему пути:
   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
4. Щелкните правой кнопкой мыши запись файла и выберите значение «DWORD» (32-битное), чтобы создать новый файл.
5. Введите следующую строку в качестве значения реестра:
   AssumeUDPEncapsulationContextOnSendRule
6. Нажмите на ОК. Также не забудьте изменить значение данных с «0» на «2».
7. Закройте все активные окна, перезагрузите устройство, чтобы проверить, не возникают ли проблемы при подключении к службе VPN

Решение № 2: Настройте параметры PAP

Следующим обходным путем для устранения «ошибки VPN 809» в Windows 10 является настройка параметров VPN PAP на вашем устройстве.

Коснитесь значка меню «Пуск» и выберите значок в виде шестеренки, чтобы открыть «Настройки». Кроме того, вы также можете нажать комбинацию клавиш Windows + I, чтобы открыть настройки Windows.

1. В настройках нажмите на опцию «Сеть и Интернет».
2. На левой панели меню переключитесь на «VPN», а затем нажмите на опцию «Добавить VPN-соединение».
3. Заполните всю необходимую информацию, включая имя подключения, идентификатор пользователя, пароль.
4. Перейдите на вкладку «Свойства» и перейдите в раздел «Безопасность»> «Дополнительные настройки».
5. Выберите «Разрешить эти протоколы» и установите флажок «Незашифрованный пароль (PAP)».
6. Перезагрузите устройство, чтобы проверить, сохраняется ли проблема.

Решение № 3: Включите порты брандмауэра

Как мы упоминали ранее, ошибка VPN 809 возникает, когда порты брандмауэра VPN на вашем устройстве блокируются по какой-либо причине. Чтобы решить эту проблему, вам необходимо выполнить следующие действия:

1. Перейдите в Панель управления> Безопасность системы> Брандмауэр Windows.
2. Нажмите на опцию «Дополнительные настройки», расположенную на левой панели меню.
3. Щелкните правой кнопкой мыши параметр «Правила для входящих подключений» и выберите «Новое правило».
4. Включите опцию «Порт» и нажмите «Далее».
5. Внесите желаемые изменения в конфигурацию, чтобы продолжить.
6. Выберите параметр «Разрешить подключение» и нажмите кнопку «Далее».
7. Выберите «Тип сети», независимо от того, принадлежит ли она корпоративному домену, общедоступному или частному.
8. Введите название правила, которое вы недавно создали, а затем нажмите кнопку «Готово».

Вышеупомянутые шаги откроют порты брандмауэра VPN на вашем устройстве, чтобы вы могли возобновить использование служб VPN на своем устройстве.

Мы надеемся, что перечисленные выше решения помогут вам устранить ошибку VPN 809 на устройствах с Windows 10. Если у вас возникнут другие вопросы или помощь, напишите нам!

Если вы хотите использовать VPN, убедитесь, что включены правильные протоколы и перенаправлены правильные порты, иначе вы можете получить ошибку подключения 809.

Проблема: порты и сетевые протоколы

Ошибка 809 гласит: Сетевое соединение между вашим компьютером и сервером VPN не может быть установлено, потому что удаленный сервер не отвечает. Это может быть связано с тем, что одно из сетевых устройств (например, брандмауэры, NAT, маршрутизаторы и т. Д.) Между вашим компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Обратитесь к своему администратору или поставщику услуг, чтобы определить, какое устройство может вызывать проблему.

В общем, это может означать, что ваш маршрутизатор блокирует VPN-соединение, например потому что у вас очень ограниченный брандмауэр или вообще нет переадресации портов. Простым решением может быть перенаправление порта для VPN-подключений. В этом случае прочтите руководство к маршрутизатору по переадресации портов (например, с cisco.com и т. Д.), Однако это также может означать, что вы не включили все необходимые сетевые протоколы для ваших VPN-подключений (Microsoft CHAP или другие)

Какой порт использует моя VPN? Перенаправить правильные порты

PPTP использует TCP-порт 1723, а для L2TP вам необходимо перенаправить UDP 500 и UDP 4500.

Итак:

• TCP-порт 1723
• UDP 500
• UDP 4500

Сетевой протокол CHAP

Совет: некоторые поставщики VPN могут потребовать, чтобы вы ТАКЖЕ отметили Challenge Handshake Authentication Protocol (CHAP) помимо Microsoft CHAP

1. Шаг . Откройте Центр управления сетями и общим доступом

2. Шаг . Теперь нажмите “Изменить настройки адаптера” слева:

3. Шаг Теперь щелкните правой кнопкой мыши свое VPN-соединение и выберите «Свойства», перейдите на вкладку «Безопасность»

4. Шаг На вкладке «Безопасность» есть флажок Разрешить эти протоколы , отметьте его, настройки по умолчанию в порядке (включение Microsoft CHAP)

5. Шаг Подтвердите с помощью OK и повторите попытку

Примечание. Некоторые провайдеры требуют, чтобы вы установили для параметра Тип VPN значение Автоматически

Ошибка 720: не удалось установить соединение

Хорошо, как только вы исправите указанные выше ошибки, вы все равно можете столкнуться с ошибкой 720, которая гласит:

Не удалось установить соединение с удаленным компьютером. Возможно, вам потребуется изменить настройки сети для этого подключения.

Чтобы исправить это, проверьте свои учетные данные, временно отключите брандмауэр и не забудьте временно отключить IPv6 для вашей VPN. Также убедитесь, что VPN назначается правильной сети. как указано в шаге 1 ниже:

720 все еще не исправлено? СБРОСИТЬ стек TCP/IP и отключить IPv6

1. Шаг Откройте свойства сети VPN (выполните шаги 1-3 выше CHAP) и перейдите на вкладку «Сеть», отключите IPv6 и убедитесь, что протокол IPv4 использует ваш локальный сетевой адрес (если вы не используете DHCP, назначьте его вручную !!)

2. Шаг Теперь откройте командную строку с повышенными привилегиями

3. Шаг Введите netsh int ip reset , как описано в нашем руководстве. Сброс Winsock через CMD

4. Шаг : перезагрузка.

5. Шаг Готово.

Последнее средство: исправление реестра

L2TP через NAT может считаться небезопасным, поэтому у вас есть чтобы применить настройку, чтобы включить его:


Редактор реестра Windows версии 5.00
[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services IPSec]
"AssumeUDPEncapsulationContextOnSendRule" = dword: 00000002


Скопируйте и вставьте его в текстовый файл, выберите «Все» в диалоговом окне «Сохранить как» и добавьте расширение .reg. При правильном сохранении появится значок реестра (НЕ значок файла txt!). Дважды щелкните и примените настройку

Source

Также прочтите: VPN-провайдеры и СОВЕТЫ

• Лучшие VPN-провайдеры 2014 г.
• TOR против VPN
• Совместное использование VPN-соединения через Wi-Fi с вашим XBOX

L2TP/IPsec VPN из Windows 10 не работает с ошибкой «удаленный сервер не отвечает …»

Фон

• Synology DS413 NAS, настроенный как сервер L2TP/IPSec VPN и расположен за Draytek Vigor 2860 NAT.
• L2TP VPN включен на маршрутизаторе Draytek Vigor Router ( VPN и удаленный доступ > Управление удаленным доступом > снимите флажки с Включить службу IPSec VPN и Включить службу L2TP VPN ).
• UDP порты 1701 , 500 или 4500 пересылаются с маршрутизатора Draytek на Synology NAS.
• Клиент Windows 10 Pro пытается подключиться с помощью встроенного клиента Windows VPN.
• VPN-соединение через PPTP работает нормально.

Проблема

• Подключение VPN через L2TP/IPsec не работает со следующей ошибкой:
  
  Сетевое соединение между вашим компьютером и Не удалось установить VPN-сервер, потому что удаленный сервер не отвечает. Это может быть связано с тем, что одно из сетевых устройств (e. g, межсетевые экраны, NAT, маршрутизаторы и т. д.) между вашим компьютером и удаленным сервером не настроены для разрешения VPN-подключений. Обратитесь к своему администратору или поставщику услуг, чтобы определить, какое устройство может вызывать проблему.

Разрешение

По умолчанию клиент Windows L2TP/IPsec VPN делает ‘ t поддерживает подключения к серверам VPN, расположенным за устройствами NAT. Чтобы включить поддержку NAT Traversal (NAT-T), внесите следующие изменения в реестр:

• Откройте
• Перейдите к
• Создайте новое значение типа DWORD 32 :
  • Имя :
  • Данные : 2
    0 – Нет подключения к серверам за NAT (по умолчанию).
    1 – Подключение, где VPN сервер находится за NAT.
    2 – соединение, при котором сервер и клиент VPN находятся за NAT.
    
• Перезагрузить компьютер

Декабрь 2017 г.
Windows 10 Pro (1709)

Иногда, при попытке запустить подключение VPN в Windows 7 может появится ошибка 809 с комментарием:»Нельзя установить связь по сети между компьютером и VPN сервером, поскольку удалённый сервер не отвечает». Чаще всего проблема возникает из-за ошибки самого пользователя. Дело в том, что сейчас чаще всего в домах и квартирах стоят роутеры, которые сами подключаются к серверу и раздают Интернет. Пользователь пытается параллельно с компьютера поднять ещё одно соединение и потому выскакивает ошибка 809 в Windows 7. С этим сталкивались многие абоненты Билайн. Поэтому если у Вас установлен роутер — не нужно поднимать ещё какие-либо соединения.

Вторая причина, по которой появляется ошибка подключения 809 по VPN L2TP — это брандмауэр Windows 7. Так как в нём по умолчанию не настроена правильно обработка VPN-соединения, система попросту блокирует его.  Для решения можно либо полностью отключить брандмауэр Виндовс, что не совсем правильно, либо немного подправить реестр. Этим мы сейчас и займёмся.

Нажимаем комбинацию Win+R и вводим в строчку «Открыть» команду regedit.

Нажимаем кнопку «ОК». Должно появится окно редактора реестра Windows 7.
В древовидном списке в левой части окна нужно найти нужную ветку. В Windows XP:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec

В Windows 7,8,10:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

Далее  в правой части окна с помощью меню «Правка»>»Создать» Вам нужно создать параметр DWORD для 32-разрядной версии с именем AssumeUDPEncapsulationContextOnSendRule. Далее кликаем по нему правой кнопкой мыши и выбираем пункт меню «Изменить». В поле значение нужно указать одно из вот этих значений:

0 — значение по умолчанию. Запрет подключения к VPN-серверу, находящемуся за NAT
1 — Разрешает подключение, если за NAT находится только сервер. При этом важное условие — у клиента должен быть “белый” IP-адрес
2 — Разрешает VPN подключение, если за NAT находятся и сервер, и его клиент.

Обычно для того, чтобы исправить ошибку 809 при подключении к интернету Билайн, либо другого провайдера, использующего протокол VPN L2TP, достаточно поставить значение 2.
Перезагружаем Windows 7 и проверяем подключение к Интернету.