The 44th Demilitarized Zone

“敬畏耶和華是智慧的開端,認識至聖者便是聰明。”——《箴》9:10

關於L2TP IPSec VPN撥入時產生的錯誤 789的解決方法

錯誤789,提示很明顯,是指協商安全層時出現了錯誤。

 

特別貼士:千萬不要嘗試,按照網上的方法更改註冊表中的ProhibitIPsec鍵值,否則就算連通了,你的L2TP也不會受到IPSec的保護。

這個鍵值的真正含義,就是在L2TP/IPSec中禁用IPSec保護。

 

說回來,造成錯誤789的原因,無非是以下情況。

1、IKE Lifetime不匹配(默認值是86400秒)

2、IKE密鑰或證書不匹配(這個不用我說了吧)

3、IKE階段的加密、HASH、DF組不匹配

(Windows客戶端存在若干組預設的策略,只要有一組與服務端匹配即可。)

4、IPSec安全關聯(SA)的Lifetime不匹配(默認值是3600秒)

5、IPSec變換集應用的封裝模式(ESP/AH)、加密和HASH不匹配(一般用esp-3des/esp-sha)

6、IPSec變換集的模式不匹配(需要改成Transport模式)

 

一般來說,這些項目正確設置之後,就可以成功在Windows客戶端上使用L2TP/IPSec撥入。

 

至於怎麼在服務端調整這些設置,請參考不同廠家不同產品的不同說明。

我只在Cisco路由器上調整過,用Windows Server 2003做服務器則不需要調整。

 

SP1,补充。

 

当然,对于客户机与服务器之间存在NAT设备的环境而言,还需要在客户机上更改一些设置。

因为从XP SP2开始,出于安全考虑,已经不支持在存在NAT的网络环境中协商IPSec SA。(包括后来的XP SP3、Vista、2008、Win7、2008R2等)

 

对于XP用户,请查阅微软知识库编号为818043的文章。

http://support.microsoft.com/kb/818043/

 

对于Vista、2008、Win7、2008R2用户,请查阅微软知识库编号为926179的文章。

http://support.microsoft.com/kb/926179

 

二者均需要修改一个名为“AssumeUDPEncapsulationContextOnSendRule”的键,但是在不同的系统中,该键存在的路径不同。

 

SP2,再次补充。

有些机器通过更改上述设置之后仍然无法建立IPSec关联。请检查IPSec服务是否启动。

我发现有些精简版系统IPSec服务已经被删除,当然可以找回来的。

阅读更多
个人分类: Cisco与网络技术
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭