l2tp over ipsec 下xp及win7客户端设置

原创

smallfish110 2012-09-29 18:39:19 ©著作权

文章标签 l2tp客户端设置 l2tp789 win7 l2tp设置 文章分类 运维

©著作权归作者所有：来自51CTO博客作者smallfish110的原创作品，请联系作者获取转载授权，否则将追究法律责任

闲来无事，看飞鱼星路由上有虚拟专用网的选项，所以做个实验，看看好用否。目前挑了两个比较典型的vpn设置，一个pptp 一个l2tp over ipsec的，都是客户端都网络的，没有做网络到网络的vpn 。网页版路由器设置都比较简单，不多说了，说说客户端遇到的问题

pptp的比较简单，过程不在详述，建立新链接的话，xp下vpn类型选上pptp，正常访问，无异常，win7的也是这样

l2tp ipsec 的就遇到了问题，这里路由器设置的为预共享密码，xp下设置为

（二）拨号端的建立：

拨号端的建立步骤同点对网PPTP ×××拨号端的建立，但具体和PPTP拨号端有以下几点不同之处：

u 加密需要启用，具体界面如下：

l2tp over ipsec 下xp及win7客户端设置_l2tp789

u 网络中的“×××类型”选择 L2TP IPSEC ×××，具体界面如下：

l2tp over ipsec 下xp及win7客户端设置_win7 l2tp设置_02

u 安全中需要输入与路由器一致的密钥，具体界面如下：

l2tp over ipsec 下xp及win7客户端设置_l2tp789_03

如通过以上设置，在连接×××时仍出现如下错误提示界面：

l2tp over ipsec 下xp及win7客户端设置_l2tp客户端设置_04

请务必考虑拨入计算机是否已启用IPSEC Services服务。

注：要成功建立L2TP IPSEC ×××，在以上配置基础上还需将拨入计算机的IPSEC Services服务启用才行。

具体需将开始》控制面板》管理工具》服务》IPSEC Services 协议的启动类型修改成手动，然后启用即可，具体界面如下：

l2tp over ipsec 下xp及win7客户端设置_l2tp789_05

一定把ipsec服务开启，否则不成功

win7下配置说下安全选项卡的

切换至安全选项卡，如果是PPTP ×××，选择点对点隧道协议，如果是L2TP的使用IPsec的第2层隧道协议。

l2tp over ipsec 下xp及win7客户端设置_l2tp客户端设置_06

第十二步：如果是L2TP那么还是安全选项卡，点击高级设置，点中使用预共享的密钥作身份验证，输入×××服务端设置的PSK。PPTP则跳过这一步。

l2tp over ipsec 下xp及win7客户端设置_l2tp789_07

需要启用的协议为chap 和mschap，服务需要开启ike and authip ipsec 和 ipsec policy agent，win7 的客户端设置遇到难题，xp下正常链接时，win7出现789问题反馈，查了点网页，最终在飞鱼星路由器的问题库中找到了相关设置，贴出来看看

一、错误789：L2TP连接尝试失败，因为安全层在初始化与远程计算机的协商时遇到一个出来错误

1.原理说明：
要配置两台通过 LAN 连接的、基于 Windows 2000 的路由和远程访问服务服务器，使它们使用一个采用预共享密钥身份验证的 L2TP/IPSec 连接，必须向 L2TP/IPSec 连接上的每台基于 Windows 2000 的终结点计算机添加 ProhibitIpSec 注册表值，以防止创建用于 L2TP/IPSec 通信的自动筛选器。
ProhibitIpSec 注册表值设置为 1 时，基于 Windows 2000 的计算机不会创建使用 CA 身份验证的自动筛选器，而是检查本地 IPSec 策略或 Active Directory IPSec 策略。
微软参考文档：http://support.microsoft.com/kb/240262/zh-cn
2.解决方法：
A、Windows2000/XP系统
要向基于 Windows 2000/XP 的计算机添加 ProhibitIpSec 注册表值，请按照下列步骤操作：
1)单击“开始”，单击“运行”，键入 regedt32，然后单击“确定”。
2)找到下面的注册表子项，然后单击它：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3)在“编辑”菜单上，单击“添加值”。
4)在“值名称”框中，键入 ProhibitIpSec。
5)在“数据类型”列表中，单击“REG_DWORD”，然后单击“确定”。
6)在“数据”框中，键入 1，然后单击“确定”。
7)退出注册表编辑器，然后重新启动计算机。
B、Windows Vista/7系统
Window Vista/7系统下设置于XP类似，也可以按照下面方法，直接导入注册表文件方式处理。
1)新建文本文档，复制以下代码到文件中：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"IpOutLowWatermark"=dword:00000001
"IpOutHighWatermark"=dword:00000005
"ProhibitIpSec"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Quarantine]
"Enabled"=dword:00000001
"AutoRefreshEnabled"=dword:00000000
"AutoRefreshTimeout"=dword:01808580
"WorkItemTimeout"=dword:00000bb8

2)修改文件后缀名为.reg文件，双击导入，重启电脑。

以上基本解决，但是win7下还是极不稳定，可连接上远程网络但访问不了内网，只可代理上网，查看ip时候查到，本机的ip和vpn池中分配的ip是一样的，怀疑有冲突，更改ip后一试，终于正常了。