Почему не подключается vpn windows 10
Перейти к содержимому

Почему не подключается vpn windows 10

  • автор:

Устранение неполадок подключения клиента виртуальной частной сети Microsoft L2TP/IPSec

В этой статье описывается устранение неполадок подключения виртуальной частной сети (VPN) L2TP/IPSec.

Применяется к: Windows 10 — все выпуски
Оригинальный номер базы знаний: 325034

Аннотация

Прежде чем установить VPN-подключение L2TP/IPSec, необходимо установить подключение к Интернету. При попытке установить VPN-подключение до подключения к Интернету может возникнуть длинная задержка (обычно 60 секунд). После этого может отобразиться сообщение об ошибке с информацией о том, что ответ не получен или возникла проблема с модемом или другим устройством связи.

При устранении неполадок подключения L2TP/IPSec полезно узнать, как происходит подключение L2TP/IPSec. При запуске подключения исходный пакет L2TP отправляется на сервер с запросом подключения. Использование этого пакета приводит к тому, что уровень IPSec на компьютере выполняет согласование с VPN-сервером настройку сеанса, защищенного IPSec (сопоставление безопасности). В зависимости от многих факторов, включая скорость соединения, согласование IPSec может занять от нескольких секунд до примерно двух минут. После установки сопоставления безопасности (SA) IPSec запускается сеанс L2TP. При запуске отобразится запрос на ввод имени пользователя и пароля (если подключение не настроено для автоматического подключения в Windows Millennium Edition). Если VPN-сервер принимает ваше имя и пароль, настройка сеанса завершается.

Распространенным сбоем конфигурации в подключении L2TP/IPSec является неправильно настроенный или отсутствующий сертификат или неправильно настроенный или отсутствующий предварительный ключ. Если на уровне IPSec не удается установить зашифрованный сеанс с VPN-сервером, он завершится сбоем с сообщением об ошибке. В результате уровень L2TP не видит ответа на свой запрос на подключение. Задержка будет длительной, обычно 60 секунд, после чего может отобразиться сообщение об ошибке с информацией о том, что ответ не получен от сервера или от модема или устройства связи. Если это сообщение об ошибке отображается перед получением запроса на ввод имени пользователя и пароля, IPSec не удалось установить сеанс. В этом случае проверьте конфигурацию сертификата или предварительного ключа или отправьте журнал isakmp администратору сети.

Второй распространенной проблемой, которая препятствует успешному сеансу IPSec, является использование преобразования сетевых адресов (NAT). Многие небольшие сети используют маршрутизатор с функциями NAT, чтобы совместно использовать один адрес в Интернете для всех компьютеров в сети. Исходная версия IPSec удаляет подключение, которое проходит через NAT, так как определяет сопоставление адресов NAT как незаконное изменение пакетов. Домашние сети часто используют NAT. Это приводит к блокировке использования L2TP/IPSec, если клиент и VPN-шлюз не поддерживают новый стандарт обхода IPSec NAT (NAT-T). Дополнительные сведения см. в разделе «Обход NAT».

Если после получения запроса на ввод имени пользователя и пароля подключение завершится сбоем, будет установлен сеанс IPSec и, вероятно, указаны неверное имя пользователя и пароль. Другие параметры сервера также могут препятствовать успешному подключению L2TP. В этом случае отправьте журнал PPP администратору.

Обход NAT

Благодаря поддержке IPSec NAT-T в Microsoft L2TP/IPSec VPN-клиенте сеансы IPSec могут проходить через NAT, когда VPN-сервер также поддерживает IPSec NAT-T. IPSec NAT-T поддерживается Windows Server 2003. IPSec NAT-T также поддерживается Windows 2000 Server с обновлением L2TP/IPSec NAT-T для Windows XP и Windows 2000.

При использовании сторонних VPN-серверов и шлюзов обратитесь к администратору или поставщику VPN-шлюза, чтобы убедиться, что IPSec NAT-T поддерживается.

Дополнительная информация

Программа конфигурации также предоставляет возможность установить флажок, чтобы включить ведение журнала IPSec. Если вам не удается установить подключение и администратор сети или сотрудник службы поддержки попросил вас предоставить журнал подключений, вы можете включить ведение журнала IPSec здесь. При этом в папке C:\Program Files\Microsoft IPSec VPN создается журнал (Isakmp.log). При создании подключения также включите ведение журнала для обработки PPP в L2TP. Для этого:

  1. Щелкните правой кнопкой мыши папку Удаленный доступ к сети и выберите пункт Свойства.
  2. Перейдите на вкладку Сеть и установите флажок Записать файл журнала для этого подключения.

Файл журнала PPP является C:\Windows\Ppplog.txt . Он расположен в папке C:\Program Files\Microsoft IPSec VPN .

Подключение к сети VPN в Windows

Для работы или личного использования вы можете подключиться к виртуальной частной сети (VPN) на компьютере с Windows. VPN-подключение может обеспечить более безопасное соединение и доступ к корпоративной сети и Интернету, например, если вы работаете из кафе или похожего общественного места.

Примечание: Эта функция недоступна в Windows 11 SE. Подробнее

Создание профиля VPN

Перед подключением к сети VPN вам необходимо настроить профиль VPN на своем компьютере. Чтобы получить профиль VPN от вашей компании, вы можете либо создать профиль VPN самостоятельно или настроить рабочую учетную запись.

Перед началом работы:

  • Если VPN-подключение будет использоваться для работы, проверьте наличие параметров и/или приложения VPN на сайте интрасети вашей компании во время работы или обратитесь к специалисту службы поддержки вашей компании.
  • Если это служба VPN, на которую вы подписываетесь для личного использования, посетите Microsoft Store, чтобы узнать, есть ли приложение для этой службы, а затем перейдите на веб-сайт службы VPN, чтобы узнать, указаны ли там параметры VPN-подключения.

После подготовки рабочих или личных параметров VPN:

  1. Выберите Пуск >Параметры >Сеть & Интернет >VPN >Добавить VPN.
  2. В разделе Добавление VPN-подключения выполните следующие действия.
    • В поле Поставщик услуг VPN выберите Windows (встроенный).
    • В поле Имя подключения введите понятное вам имя (например, «Мой личный VPN»). Это имя подключения VPN, которое будет нужно искать для подключения.
    • В поле Имя или адрес сервера введите адрес для сервера VPN.
    • Выберите тип VPN-подключения, которое вы хотите создать. Вы должны знать, какой тип VPN-подключения или служба VPN используется в вашей организации.
    • В поле Тип данных для входа выберите тип данных для входа (или учетные данные), которые следует использовать. Это могут быть имя пользователя и пароль, одноразовый пароль, сертификат или смарт-карта, если вы подключаетесь к сети VPN для работы. Введите свое имя пользователя и пароль в соответствующие поля (при необходимости).
  3. Нажмите Сохранить.

Если необходимо изменить сведения о VPN-подключении или указать дополнительные параметры, например параметры прокси-сервера, выполните следующие действия.

  • На странице параметров VPN выберите VPN-подключение, которое вы хотите изменить, выберите Дополнительные параметры, а затем щелкните Изменить рядом с сведениями, которые нужно обновить. После внесения необходимых обновлений выберите Сохранить или Применить.

Подключение к сети VPN

Если у вас есть профиль VPN, вы готовы к подключению.

Быстро подключитесь к VPN с панели задач:

  1. На панели задач выберите значок Сеть, Громкость, Батарея >VPN.
  2. В списке имен VPN-подключений выберите нужное и нажмите кнопку Подключить.
  3. При появлении запроса введите имя пользователя и пароль или другие сведения для входа.

Подключитесь к VPN со страницы параметров Windows:

  1. Выберите Пуск >Параметры >Сеть & Интернет >VPN.
  2. Рядом с VPN-подключением, которое вы хотите использовать, выберите Подключить.
  3. При появлении запроса введите имя пользователя и пароль или другие сведения для входа.

Вы узнаете, что подключены к VPN двумя способами:

  • На странице параметров VPN имя VPN-подключения будет отображаться под ним подключено.
  • На панели задач при подключении к распознанной VPN-сети будет отображаться синий экран.

При подключении к VPN через Wi-Fi значок Wi-Fi отображает небольшой синий щит VPN.

Вы можете подключаться к виртуальной частной сети (VPN) на компьютере с Windows 10 как для работы, так и в личных целях. VPN-подключение может обеспечить более безопасное соединение и доступ к корпоративной сети и Интернету, например, если вы работаете из кафе или похожего общественного места.

Создание профиля VPN

Добавление кнопки

Перед подключением к сети VPN вам необходимо настроить профиль VPN на своем компьютере. Чтобы получить профиль VPN от вашей компании, вы можете либо создать профиль VPN самостоятельно или настроить рабочую учетную запись.

Перед началом работы:

  • Если VPN-подключение будет использоваться для работы, проверьте наличие параметров и/или приложения VPN на сайте интрасети вашей компании во время работы или обратитесь к специалисту службы поддержки вашей компании.
  • Если вы подписываетесь на службу VPN в личных целях, посетите Microsoft Store , чтобы проверить наличие приложения для этой службы, а затем перейдите на веб-сайт службы VPN, где могут быть указаны необходимые параметры VPN-подключения.
  1. Нажмите кнопку Пуск , а затем выберите Параметры >Сеть & Интернет >VPN >Добавить VPN-подключение.
  2. В разделе Добавление VPN-подключения сделайте следующее:
    • В поле Поставщик услуг VPN выберите Windows (встроенный).
    • В поле Имя подключения введите понятное вам имя (например, «Мой личный VPN»). Это имя подключения VPN, которое будет нужно искать для подключения.
    • В поле Имя или адрес сервера введите адрес для сервера VPN.
    • Выберите Тип VPN-подключения, которое вы хотите создать. Вы должны знать, какой тип VPN-подключения или служба VPN используется в вашей организации.
    • В поле Тип данных для входа выберите тип данных для входа (или учетные данные), которые следует использовать. Это могут быть имя пользователя и пароль, одноразовый пароль, сертификат или смарт-карта, если вы подключаетесь к сети VPN для работы. Введите свое имя пользователя и пароль в соответствующие поля (при необходимости).
  3. Нажмите Сохранить.
  4. Если вам требуется изменить сведения о VPN-подключении или указать дополнительные параметры, например параметры прокси-сервера, выберите соответствующее VPN-подключение и нажмите Дополнительные параметры.

Подключение к сети VPN

Если у вас есть профиль VPN, вы готовы к подключению.

  1. Выберите значок сети ( или ) в дальнем правом углу панели задач.
  2. Выберите VPN-подключение, которое вы хотите использовать, а затем выполните одно из следующих действий в зависимости от того, что происходит при выборе VPN-подключения:
    • Если под VPN-подключением отображается кнопка «Подключить», выберите Подключить.
    • Если в «Параметрах» открывается раздел «VPN», выберите это VPN-подключение, затем выберите Подключить.
  3. При появлении запроса введите имя пользователя и пароль или другие данные для входа.

При подключении имя VPN-подключения будет отображаться под ним подключено . Чтобы проверить наличие подключения к сети VPN во время работы за компьютером, нажмите значок Сеть ( или ) в крайнем правом углу панели задач и убедитесь, что под VPN-подключением есть надпись Подключено.

Ошибка VPN: Не удается подключиться к удаленному компьютеру, потребуется изменение сетевых параметров соединения

date

02.03.2022

user

itpro

directory

Windows 10, Windows 11

comments

комментарий 41

Столкнулся со странной ошибкой в Windows 10, когда неожиданно перестали работать все VPN подключения к любым ресурсам с ошибкой:

Не удается подключиться к удаленному компьютеру. Возможно, потребуется изменение сетевых параметров соединение.
Can’t connect to VPN A connection to the remote computer could not be established. You might need to change the network settings for this connection.

Windows 10 ошибка VPN: Не удается подключиться к удаленному компьютеру. Возможно, потребуется изменение сетевых параметров соединение

Для подключения используется встроенный VPN клиент Windows. С соседнего устройства VPN подключение с такими же настройками работает нормально, т.е. явно проблема не с VPN сервером.

В журнале Application отображается ошибка VPN подключения 720:

EventID: 20227 Source: RasClient The user dialed a connection named VPN which has failed. The error code returned on failure is 720.

netsh winsock reset
netsh int ip reset
ipconfig /release
ipconfig /renew

ipconfig /flushdns

Возможно подключение блокируется правилами Windows Firewall или сторонним антивирусом/брандмауэром (попробуйте временно отключить их).

Проверьте, что в Windows не используется WinHTTP прокси для подключения к интернету.

netsh winhttp show proxy

не используется WinHTTP прокси сервер для подключения к интернету

Current WinHTTP proxy settings: Direct access (no proxy server).

В данном примере используется прямое подключение.

Если нужно сбросить настройки прокси, выполните:

netsh winhttp reset proxy

Если на ваш компьютер настройки прокси задаются через GPO и вы не можете изменить настройки прокси сервера в Windows, обратитесь к системному администратору и убедитесь, что VPN трафик не блокируется на прокси-сервере.

Но в моем случае после этого VPN подключения не заработали.

Теперь нужно попробовать переустановить виртуальные адаптеры WAN Miniports в диспетчере устройств

WAN Miniports — виртуальные сетевые адаптеры с драйверами под различные сетевые протоколы подключения. В Windows есть WAN Miniport адаптеры для протоколов IKEv2, IP, IPv6, L2TP, Network Monitor, PPPOE, PPTP, SSTP.

удалить WAN Miniport адаптеры в диспетчере устройств

  1. Запустите диспетчер устройств (devmgmt.msc), разверните секцию Network Adapters и удалите все устройства с именем WAN Miniport.
  2. Выберите, например, WAN Miniport (SSTP), щелкаете по нему правой клавишей и выберите Uninstall Device;
  3. Затем переходит к следующему устройству WAN Miniport. Нужно удалить все устройства:

обновить конфигурацию оборудования

  • WAN Miniport (PPTP)
  • WAN Miniport (PPPOE)
  • WAN Miniport (Network Monitor)
  • WAN Miniport (L2TP)
  • WAN Miniport (IPv6)
  • WAN Miniport (IP)
  • WAN Miniport (IKEv2)
  • Теперь нужно пересканировать конфигурацию оборудования (Action -> Scan for Hardware changes), и дождаться пока Windows обнаружит и установит драйверы для WAN Miniports устройств.
  • После того, как все адаптеры WAN Miniports переустановлены, можете проверить свои VPN подключение. Все должно заработать.
  • Если Windows не смогла установить устройства WAN Miniports, проверьте целостность вашего образа Windows с помощью DISM:

    sfc /scannow
    DISM /Online /Cleanup-Image /CheckHealth

    Можно использовать PowerShell для диагностики проблемы с адаптерами WAN Miniports.

    Проверьте, что для нужного вам адаптера включены все протоколы ( Enabled=True ), и среди драйверов фильтрации отсутствуют сторонние драйверы (могут быть добавлены антвирусами).

    $adapter=Get-NetAdapter -IncludeHidden | Where-Object
    Get-NetAdapterBinding -Name $adapter.name -IncludeHidden –AllBindings

    powershell - включить/отключить фильтры драйверов

    Можно включить/отключить нужный драйвер так:

    Enable-NetAdapterBinding -Name $adapter.name -IncludeHidden -AllBindings -ComponentID ms_wanarp

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Не работает L2TP/IPSec VPN подключение в Windows

    date

    01.12.2023

    user

    itpro

    directory

    Windows 10, Windows 11, Windows Server 2019

    comments

    комментариев 30

    В этой статье мы рассмотрим типовые причины ошибок при подключении к L2TP/IPSec VPN серверу с клиентов Windows 10/11 и Windows Server 2019/2016. Если вы не можете установить L2TP VPN подключение к Windows, внимательно посмотрите на код и описание ошибки. Там часто указывается причина ошибки.

    Не удается установить связь между компьютером и VPN сервером L2TP/IPScec

    При попытке установить соединение из клиента Windows к L2TP VPN серверу появляется ошибка:

    Can’t connect to ваше_L2TP_IPSec_VPN_подключение The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

    vpn ошибка при подключении за NAT

    Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств (таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений. Чтобы определить, какое устройство вызывает эту проблему, обратитесь к администратору или поставщику услуг.

    Чаще всего при этом появляются следующие коды ошибок: 800, 794 или 809.

    Если появилась такая ошибка, нужно проверить что вы указали правильный адрес VPN сервера, VPN сервер доступен и в файерволах открыты все необходимые порты.

    Для доступа к L2TP/IPsec VPN сервере должны быть открыты следующие порты:

    • UDP порт 1701 (Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP))
    • UDP порт 500 (IKE, для управления ключами шифрования)
    • Протокол ESP50 (Encapsulating Security Payload) для IPSec

    Если L2TP VPN сервер запущен на Windows Server, нужно открыть эти входящие порты в правилах Windows Defender Firewall.

    Для подключения к L2TP VPN серверу можно использовать встроенный VPN клиент Windows. Проверьте настройки вашего VPN подключения. Убедитесь, что для VPN подключения используется туннель L2tp и pre-shared key (PSK)/сертификат для аутентификации. Настройки VPN подключения можно вывести с помощью PowerShell:

    get-vpnconnection вывести l2tp подключения

    Разрешить подключение к L2TP/IPSec VPN серверу за NAT

    Если целевой L2TP VPN сервер находится за NAT, то с настройками по-умолчанию вы не сможете установить подключение к нему с компьютера Windows. Дело в том, что протокол IPsec не поддерживает NAT. Для обхода этого ограничения используется протокол NAT-T, который инкапсулирует пакеты IPsec в UDP/4500.

    IPSec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT/ Port Address Translation.

    NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

    Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо как на сервере, так и на клиенте Windows внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

    1. Откройте редактор реестра regedit.exe и перейдите в ветку:
      • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
      • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
    2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;

    AssumeUDPEncapsulationContextOnSendRule

    • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
    • 1 – VPN сервер находится за NAT;
    • 2 — и VPN сервер и клиент находятся за NAT.

    Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

    Set-ItemProperty -Path «HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent» -Name «AssumeUDPEncapsulationContextOnSendRule» -Type DWORD -Value 2 –Force

    После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT). В этом случае при установлении L2TP/IPsec подключения сначала создается зашифрованный IPsec-канал (используется протокол IKE: UDP/500 и NAT-T: UDP/4500). После этого уже внутри IPsec поднимается туннель L2TP на порт 1701 UDP. Это означает, что, если VPN сервер находится за NAT, вам не нужно пробрасывать на него порт 1701 UDP с внешнего роутера/маршрутизатора.

    Подключение L2TP не удалось из-за ошибки согласования безопасности

    Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

    Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.
    Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером. (Ошибка 789)

    l2tp ошибка 789 подключение не удалась из за несогласования безопасности

    Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

    По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

    Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters и перезагрузите компьютре:

    • AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
    • ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

    Параметры реестра ProhibitIPSec AllowL2TPWeakCrypto для корректной работы VPN за NAT

    Для изменения этих параметров реестра достаточно выполнить команды:
    reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
    reg add «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters» /v ProhibitIpSec /t REG_DWORD /d 0 /f

    Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10/11).

    Еще несколько советов, которые помогут вам исправить проблему с L2TP VPN подключением в Windows

    • Проверьте, что в настройках L2TP VPN подключения включен протокол аутентификации, которые поддерживается VPN сервером. Откройте ncpa.cpl -> свойства VPN подключения -> вкладка Security. В списке протоколов отметьте разрешенные протоколы. Как правило тут нужно оставить только MS-CHAP v2;vpn l2tp: включить аутентификацию mschapv2
    • Перейдите на вкладку Options -> PPP Settings -> включите опцию Enable LCP Extension; l2tp включить lcp extension
    • Проверьте, чтов Windows запущены службыIKE and AuthIP IPsec Keying Modules и IPsec Policy Agent:
      get-service IKEEXT,PolicyAgent
      Проверить службы IKE и IPsec Policy Agent
    • Откройте диспетчер устройств и удалите виртуальные адаптеры WAN Miniport (L2TP) и WAN Miniport (IKEv2). Перезагрузите компьютер. После перезагрузки Windows восстановит эти адаптеры с настройками по-умолчанию; переустановить виртуальный адаптер wan miniport l2tp

    Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *