有关如何建立 L2TP的vpn连接,shenxu兄已经在VPN的L2TP证书连接分析 中说的很清楚了。可是如果vpn服务器或者客户端的操作系统不是windows 2003,而且在NAT后面,则会出现错误,提示安协商超时。这是因为IPSEC无法穿越的NAT。必须有一种新的技术,即NAT-T的支持。而除2003以外的操作系统并不支持NAT-T。
解决方法如下:
一:2000 xp 系统
需要安装补丁。此补丁并不是默认的系统补丁,要手动安装。地址如下
http://v4.windowsupdate.microsoft.com/catalog
1.查找 Microsoft Windows 操作系统的更新
2.选择操作系统
3.高级选项
4.包含中填 818043
5.搜索
找到后下来安装,重启,即可。
注意:在选择操作系统时,微软只提供了win2000 pro 的这个补丁,并没有提供 win 2000 adv 与win 2000 server的补丁。经过试验只要是2000的系统,无论什么版本,都可以用pro的这个补丁,一样的好用。
如果vpn服务器是win2000系统同样也需要安装这个补丁,2003则不用了。
二:98 NT 系统
需下载一软件地址如下:http://download.microsoft.com/download/win…N-US/msl2tp.exe
安装后点select certificate选择你所申请的证书即可。
——————————–
我根据shenxu兄的”在VPN的L2TP证书连接分析”文章中的步骤进行了ISA服务器和VPN客户端的证书安装,ISA上VPN的设置和PPTP方式连接的设置一样(除了去掉PPTP协议前面的钩,选择L2TP),但是客户端连接时出现错误:
错误800:不能建立VPN连接.VPN服务器可能不能到达,或者此连接的安全参数没有正确配置.
是不是客户端和ISA端需要特定的VPN设置、访问策略和规则?还是象ddl兄说的要安装补丁,我的ISA2004是安装在WIN2003上的,CA服务器在另一台WIN2000 SERVER上,客户端是XP SP2。
另:我现在的两端设置PPTP方式可以连通没问题。
——————————–
不需要特定的策略,但如果客户端要经过nat才能到达isa,则需要补丁!
———————————-
我的客户端是直接MODEM拨号连接INTERNET的,ISA服务器是通过ADSL虚拟拨号连接INTERNET的.这是不是你说的情况?
——————————-
这个没有通过NAT,应该还是在证书的某个环节上出问题了!
———————————-
你可以先尝试不使用证书,以判断是否是证书的问题,L2TP可以使用共享密钥的方式连接,注意修改服务器设置以后要重启动。
——————————-
我今天上午试了一下,如果选择共享密钥的方式连接,VPN客户端连接时会报错误678:远程计算机没反应.
—————————–
那么就和证书无关了,是你的L2TP通道就没有建立成功。查看500端口是否打开。
—————————
我的ISA主机500端口确实没有打开,PPTP的端口是开的.怎么打开?
是不是在ISA中启用客户端访问,并且钩选了启用L2TP/IPSEC,然后重启主机就可以了?如果是,我是这么做的.
我在更改ISA上VPN后按应用按钮,在监视-警告-需要重新启动ISA服务器计算机中显示:描述: 对 VPN 配置所做的改动要求计算机重新启动。 由于下列错误而失败:0x41002 .
windows日志-系统日志中有个错误:连到 VPN4-4 端口上的通讯设备处于空闲状态(来源是remoteaccess)。
———————–
自己去启动系统里的RRAS了吧,让ISA去启动,自己不要去启动,如果已经动了,删除,然后ISA里面删除VPN设置,重建。
————————
现在可以成功连接了,非常感谢SHENXU兄,我原来只是禁用了WINDOWS中的RRAS,但是ISA的VPN一旦启动,RRAS也跟着启动,现在我把RRAS干脆删除了,启动ISA中的VPN服务,也不见RRAS再出来.
虽然成功了但原因是什么呢?冲突吗?
—————–
对,冲突,调用的DLL不是一个。
—————-
windows xp sp2
默认不支持nat-t