在某些情況下，VPN伺服器不得不設定在內部網路中，並且通過NAT-PT接入Internet。

伺服器端無需更改任何設定，只需在路由器上，進行埠對映。

對映UDP500、1701、4500三個埠到VPN伺服器。

在客戶機上，如果是XP SP2或者更新的系統，微軟預設關閉了IPsec的NAT-T功能，需要手工修改登錄檔，詳情請看微軟知識庫文章。

防止連線失效，複製全文如下：

建立，並配置 AssumeUDPEncapsulationContextOnSendRule 登錄檔值，請按照下列步驟操作：

1. 使用者在管理員組的成員身份登入到 Windows Vista 客戶端計算機上。
2. 單擊 開始 ，指向 所有程式 、 附件 ，單擊 執行 
   ，鍵入 regedit ，然後單擊 確定 。 如果該 使用者帳戶控制 對話方塊顯示在螢幕上，並提示您提升管理員令牌，單擊 繼續 。
3. 查詢，並單擊以下注冊表子項：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/PolicyAgent請注意 還可以 AssumeUDPEncapsulationContextOnSendRule DWORD 值應用到 Microsoft Windows XP Service Pack 2 (SP 2) 的 VPN 客戶端計算機。 要這樣，找到，並單擊下面的登錄檔子項：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPSec
4. 在 編輯 選單上指向 新建 ，然後單擊 DWORD (32-bit) 值 。
5. 鍵入 AssumeUDPEncapsulationContextOnSendRule ，然後按 Enter 鍵。
6. 右鍵單擊 AssumeUDPEncapsulationContextOnSendRule ，然後單擊 修改 。
7. 在該 數值資料 框鍵入下列值之一：
   • 0
     值為 0 （零） 將 Windows 配置以便它不能建立與位於 NAT 裝置後面的伺服器的安全關聯。 這是預設值。
   • 1
     值 1 將 Windows 配置以便可以建立與位於 NAT 裝置後面的伺服器的安全關聯。
   • 2
     值為 2 將 Windows 配置以便當伺服器和基於 Windows Vista 的或基於 Windows Server 2008 的 VPN 客戶端計算機位於後面 NAT 裝置時可以建立安全關聯。
8. 單擊 確定 ，然後退出登錄檔編輯器。

1. 重新啟動計算機。

批處理檔案:

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters" /v ProhibitIpSec /t REG_DWORD /D 1 /f
@net stop rasman
@net start rasman
@net stop policyagent
@net start policyagent