Mikrotik路由器后L2TP服务器的正确NAT和防火墙规则
Mikrotik路由器后L2TP服务器的正确NAT和防火墙规则
提问于 2020-11-10 04:03:31
我已通过预共享密钥为L2TP虚拟专用网连接配置了Windows Server 2016。服务器的LAN端地址为192.10.0.100。我可以从LAN端访问VPN。
在本地网络之外,我收到一条错误消息,提示“远程服务器没有响应”,并提到可能存在NAT或防火墙问题。
以下是我为VPN制定的规则:
NAT
add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 500" \
dst-address="Mikrotik public IP Address" dst-port=500 protocol=udp to-addresses=\
192.10.0.100 to-ports=500
add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 1701" \
dst-address="Mikrotik public IP Address" dst-port=1701 protocol=udp to-addresses=\
192.10.0.100 to-ports=1701
add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 4500" \
dst-address="Mikrotik public IP Address" dst-port=4500 protocol=udp to-addresses=\
192.10.0.100 to-ports=4500 防火墙:
add action=accept chain=input comment="allow L2TP port 500" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow L2TP port 1701" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow L2TP port 4500" dst-port=4500 \
protocol=udp
add action=accept chain=forward comment=\
"Allow forwarding for L2TP VPN (udp)" dst-address=192.10.0.100 \
protocol=udp客户端似乎可以联系服务器,但没有得到任何响应。是否还有另一个NAT用于我缺少的返回流量?提前谢谢。
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-11-11 13:34:19
如果您收到一条错误消息,指出防火墙有问题,可能会检查您的客户端和服务器端注册表项。
在windows服务器上设置NPS的说明指出,您必须向服务器和客户端上的注册表添加here值,才能使L2TP更改生效。
转到
HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> PolicyAgent 添加
AssumeUDPEncapsulationContextOnSendRule将值数据更改为2。
事实证明,您不需要在LAN端测试VPN,但需要在WAN端测试VPN。因此,直到我能够从我的MacBook专业版连接到虚拟专用网之前,我都没有想过要检查我的拼写。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64758513
复制相关文章
相似问题
腾讯云开发者
