關於L2TP IPSec VPN撥入時產生的錯誤 789的解決方法
錯誤789,提示很明顯,是指協商安全層時出現了錯誤。
特別貼士:千萬不要嘗試,按照網上的方法更改登錄檔中的ProhibitIPsec鍵值,否則就算連通了,你的L2TP也不會受到IPSec的保護。
這個鍵值的真正含義,就是在L2TP/IPSec中禁用IPSec保護。
說回來,造成錯誤789的原因,無非是以下情況。
1、IKE Lifetime不匹配(預設值是86400秒)
2、IKE金鑰或證書不匹配(這個不用我說了吧)
3、IKE階段的加密、HASH、DF組不匹配
(Windows客戶端存在若干組預設的策略,只要有一組與服務端匹配即可。)
4、IPSec安全關聯(SA)的Lifetime不匹配(預設值是3600秒)
5、IPSec變換集應用的封裝模式(ESP/AH)、加密和HASH不匹配(一般用esp-3des/esp-sha)
6、IPSec變換集的模式不匹配(需要改成Transport模式)
一般來說,這些專案正確設定之後,就可以成功在Windows客戶端上使用L2TP/IPSec撥入。
至於怎麼在服務端調整這些設定,請參考不同廠家不同產品的不同說明。
我只在Cisco路由器上調整過,用Windows Server 2003做伺服器則不需要調整。
SP1,補充。
當然,對於客戶機與伺服器之間存在NAT裝置的環境而言,還需要在客戶機上更改一些設定。
因為從XP SP2開始,出於安全考慮,已經不支援在存在NAT的網路環境中協商IPSec SA。(包括後來的XP SP3、Vista、2008、Win7、2008R2等)
對於XP使用者,請查閱微軟知識庫編號為818043的文章。
對於Vista、2008、Win7、2008R2使用者,請查閱微軟知識庫編號為926179的文章。
二者均需要修改一個名為“AssumeUDPEncapsulationContextOnSendRule”的鍵,但是在不同的系統中,該鍵存在的路徑不同。
SP2,再次補充。
有些機器通過更改上述設定之後仍然無法建立IPSec關聯。請檢查IPSec服務是否啟動。
我發現有些精簡版系統IPSec服務已經被刪除,當然可以找回來的。