解決win10系統 L2TP連線嘗試失敗:ERROR因為安全層在初始化與遠端計算機的協商時遇到了一個處理錯誤
錯誤描述:當連線VPN是回傳錯誤為“ L2TP連線嘗試失敗,因為安全層在初始化與遠端計算機的協商時遇到了一個處理錯誤”
作業系統:win10家庭版
VPN設定:
常規選項:配置了需要連線目標server的IP地址。
安全選項:VPN型別如下圖所示
網路選項:在ipv4屬性中配置如下:
高階選項IP設定中取消了“在遠端網路上使用預設閘道器”然後連結時報錯。因為不瞭解VPN伺服器的配置而且其他win7的系統能連結VPN,所以只能儘可能排查win10自己系統的問題。注意win10家庭版是沒有本地安全組策略的,所以要麼加域推送組策略否則沒有太好的辦法做策略。
在這裡我們想檢視服務是否啟動,在這裡檢視到服務是沒有開啟的,這樣我們手動觸發一下。
但是發現還是不行。這個時候為什麼不問問神奇的MSDN呢?(博主還是推薦遇windows的問題多去MSDN查詢結果)。
這裡我在MSDN中找到了一個答案,在下面附上鍊接:
https://support.microsoft.com/zh-cn/kb/929856
文中說明如果發生了這種情況大多數的原因發生在Windows客戶端計算機使用的加密級別與VPN伺服器所使用的加密級別不匹配。例如,客戶端計算機使用40位或56位RC4加密演算法,並且VPN伺服器僅支援128位RC4加密演算法,將出現此問題。
針對客戶端給出的解決辦法就是添加了一條登錄檔記錄。
新增客戶端計算機上使用的 AllowL2TPWeakCrypto 登錄檔項來更改加密設定路由和遠端訪問服務。
1. 建立 AllowL2TPWeakCrypto 登錄檔項,並將其設定為 1 的值。
1. 單擊開始,單擊執行,鍵入regedit,然後單擊確定
2. 在登錄檔編輯器中,找到並單擊以下注冊表子項︰
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在編輯選單上,指向新建,然後單擊DWORD 值。
4. 鍵入AllowL2TPWeakCrypto,然後按 enter 鍵。
5. 在編輯選單上,單擊修改。
6. 在數值資料框中,鍵入1,然後單擊確定。
7. 在檔案選單上,單擊退出以退出登錄檔編輯器。 2. 重新啟動"路由和遠端訪問"服務和遠端訪問連線管理器服務。若要執行此操作,請按照下列步驟操作:
1. 單擊開始,右鍵單擊我的電腦,然後單擊管理。
2. 展開服務和應用程式,然後單擊服務。
3. 路由和遠端訪問,請用滑鼠右鍵單擊,然後單擊停止。
4. 遠端訪問連線管理器中,用滑鼠右鍵單擊,然後單擊停止。
5. 遠端訪問連線管理器中,用滑鼠右鍵單擊,然後單擊開始。
6. 路由和遠端訪問,請用滑鼠右鍵單擊,然後單擊開始。
請注意出於安全形度考慮,請在做修改登錄檔的1操作是將登錄檔先匯出備份一個。以下是我未作修改登錄檔的原值:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
"KeepRasConnections"=dword:00000000
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"MiniportsInstalled"=dword:0000ffff
(ps: AllowL2TPWeakCrypto )
或者更改參照給的另外一個方法:
方法 2︰ 更改在 VPN 客戶端計算機上的加密設定
更改加密在客戶端計算機的 VPN 連線中要使用的設定最大強度加密。執行此操作後,三重資料加密標準 (3DES) 加密用於建立 VPN 連線。若要更改客戶端計算機的 VPN 連線的加密設定,請執行以下步驟︰
1. 單擊開始,單擊執行,請在開啟框中,鍵入ncpa.cpl ,然後單擊確定。
2. VPN 連線中,用滑鼠右鍵單擊,然後單擊屬性。
3. 單擊安全選項卡,單擊高階 (自定義設定),然後單擊設定。
4. 在資料加密框中,單擊最大強度的加密 (如果伺服器拒絕將斷開連線),然後單擊確定兩次。
重啟之後可以再次嘗試撥入VPN。一般情況下因該能夠解決了,但是博主臉黑還是不行,那沒辦了,繼續改登錄檔。
1.定位登錄檔HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
2. 在“編輯”選單上,單擊“新建”->“DWORD值”
3. 在“名稱”框中,鍵入“ProhibitIpSec”
4. 在“數值資料”框中,鍵入“1”,然後單擊“確定”
(ps: “ProhibitIpSec”=dword:00000000 ;使用RAS的L2TP功能[1=關閉])
這裡附帶貼上兩個微軟msdn使用netdiag和Ipsecmon工具排L2TP/IPSec的排錯方法
https://support.microsoft.com/zh-cn/kb/259335
https://support.microsoft.com/zh-cn/kb/248750