在某些情况下,VPN服务器不得不设置在内部网络中,并且通过NAT-PT接入Internet。
服务器端无需更改任何设置,只需在路由器上,进行端口映射。
映射UDP500、1701、4500三个端口到VPN服务器。
在客户机上,如果是XP SP2或者更新的系统,微软默认关闭了IPsec的NAT-T功能,需要手工修改注册表,详情请看微软知识库文章。
http://support.microsoft.com/kb/926179
防止连接失效,复制全文如下:
创建,并配置 AssumeUDPEncapsulationContextOnSendRule 注册表值,请按照下列步骤操作:
- 用户在管理员组的成员身份登录到 Windows Vista 客户端计算机上。
- 单击 开始 ,指向 所有程序 、 附件 ,单击 运行 ,键入 regedit ,然后单击 确定 。 如果该 用户帐户控制 对话框显示在屏幕上,并提示您提升管理员令牌,单击 继续 。
- 查找,并单击以下注册表子项:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/PolicyAgent请注意 还可以 AssumeUDPEncapsulationContextOnSendRule DWORD 值应用到 Microsoft Windows XP Service Pack 2 (SP 2) 的 VPN 客户端计算机。 要这样,找到,并单击下面的注册表子项:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPSec
- 在 编辑 菜单上指向 新建 ,然后单击 DWORD (32-bit) 值 。
- 键入 AssumeUDPEncapsulationContextOnSendRule ,然后按 Enter 键。
- 右键单击 AssumeUDPEncapsulationContextOnSendRule ,然后单击 修改 。
- 在该 数值数据 框键入下列值之一:
- 0
值为 0 (零) 将 Windows 配置以便它不能建立与位于 NAT 设备后面的服务器的安全关联。 这是默认值。 - 1
值 1 将 Windows 配置以便可以建立与位于 NAT 设备后面的服务器的安全关联。 - 2
值为 2 将 Windows 配置以便当服务器和基于 Windows Vista 的或基于 Windows Server 2008 的 VPN 客户端计算机位于后面 NAT 设备时可以建立安全关联。
- 0
- 单击 确定 ,然后退出注册表编辑器。
- 重新启动计算机。
@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters" /v ProhibitIpSec /t REG_DWORD /D 1 /f
@net stop rasman
@net start rasman
@net stop policyagent
@net start policyagent