錯誤描述:當(dāng)連接VPN是回傳錯誤為“ L2TP連接嘗試失敗垮兑,因為安全層在初始化與遠(yuǎn)程計算機的協(xié)商時遇到了一個處理錯誤”
操作系統(tǒng):win10家庭版
VPN設(shè)置:
常規(guī)選項:配置了需要連接目標(biāo)server的IP地址。
安全選項:VPN類型如下圖所示
網(wǎng)絡(luò)選項:在ipv4屬性中配置如下:
高級選項IP設(shè)置中取消了“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”然后鏈接時報錯雀哨。因為不了解VPN服務(wù)器的配置而且其他win7的系統(tǒng)能鏈接VPN私爷,所以只能盡可能排查win10自己系統(tǒng)的問題。注意win10家庭版是沒有本地安全組策略的捌浩,所以要么加域推送組策略否則沒有太好的辦法做策略工秩。
在這里我們想查看服務(wù)是否啟動宏榕,在這里查看到服務(wù)是沒有開啟的侵佃,這樣我們手動觸發(fā)一下。
但是發(fā)現(xiàn)還是不行抚芦。這個時候為什么不問問神奇的MSDN呢迈螟?(博主還是推薦遇windows的問題多去MSDN查詢結(jié)果)。
這里我在MSDN中找到了一個答案褥民,在下面附上鏈接:
https://support.microsoft.com/zh-cn/kb/929856
文中說明如果發(fā)生了這種情況大多數(shù)的原因發(fā)生在Windows客戶端計算機使用的加密級別與VPN服務(wù)器所使用的加密級別不匹配洗搂。例如,客戶端計算機使用40位或56位RC4加密算法耘拇,并且VPN服務(wù)器僅支持128位RC4加密算法惫叛,將出現(xiàn)此問題。
針對客戶端給出的解決辦法就是添加了一條注冊表記錄嘉涌。
添加客戶端計算機上使用的 AllowL2TPWeakCrypto 注冊表項來更改加密設(shè)置路由和遠(yuǎn)程訪問服務(wù)。
1. 創(chuàng)建 AllowL2TPWeakCrypto 注冊表項扔役,并將其設(shè)置為 1 的值词身。
1. 單擊開始番枚,單擊運行,鍵入regedit深啤,然后單擊確定? ? ? ??
2. 在注冊表編輯器中路星,找到并單擊以下注冊表子項︰HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
3. 在編輯菜單上诱桂,指向新建呈昔,然后單擊DWORD 值。? ? ? ??
4. 鍵入AllowL2TPWeakCrypto肝劲,然后按 enter 鍵郭宝。? ? ? ??
5. 在編輯菜單上,單擊修改粘室。? ? ? ??
6. 在數(shù)值數(shù)據(jù)框中,鍵入1鹿榜,然后單擊確定锦爵。? ? ? ??
7. 在文件菜單上,單擊退出以退出注冊表編輯器怀薛。
2. 重新啟動"路由和遠(yuǎn)程訪問"服務(wù)和遠(yuǎn)程訪問連接管理器服務(wù)迷郑。若要執(zhí)行此操作,請按照下列步驟操作:
1. 單擊開始嗡害,右鍵單擊我的電腦,然后單擊管理十电。
2. 展開服務(wù)和應(yīng)用程序叹螟,然后單擊服務(wù)。
3. 路由和遠(yuǎn)程訪問畏线,請用鼠標(biāo)右鍵單擊良价,然后單擊停止蒿叠。
4. 遠(yuǎn)程訪問連接管理器中蚣常,用鼠標(biāo)右鍵單擊,然后單擊停止魂务。
5. 遠(yuǎn)程訪問連接管理器中泌射,用鼠標(biāo)右鍵單擊,然后單擊開始熔酷。
6. 路由和遠(yuǎn)程訪問,請用鼠標(biāo)右鍵單擊拒秘,然后單擊開始。
請注意出于安全角度考慮押蚤,請在做修改注冊表的1操作是將注冊表先導(dǎo)出備份一個羹应。以下是我未作修改注冊表的原值:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
"KeepRasConnections"=dword:00000000
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
? 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
? 72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"MiniportsInstalled"=dword:0000ffff
(ps: AllowL2TPWeakCrypto )
或者更改參照給的另外一個方法:
方法 2︰ 更改在 VPN 客戶端計算機上的加密設(shè)置
更改加密在客戶端計算機的 VPN 連接中要使用的設(shè)置最大強度加密园匹。執(zhí)行此操作后,三重數(shù)據(jù)加密標(biāo)準(zhǔn) (3DES) 加密用于建立 VPN 連接裸违。若要更改客戶端計算機的 VPN 連接的加密設(shè)置,請執(zhí)行以下步驟︰
1. 單擊開始枪汪,單擊運行怔昨,請在打開框中,鍵入ncpa.cpl 岸啡,然后單擊確定赫编。
2. VPN 連接中,用鼠標(biāo)右鍵單擊擂送,然后單擊屬性。
3. 單擊安全選項卡搬味,單擊高級 (自定義設(shè)置)蟀拷,然后單擊設(shè)置。
4. 在數(shù)據(jù)加密框中悦析,單擊最大強度的加密 (如果服務(wù)器拒絕將斷開連接)此衅,然后單擊確定兩次。
重啟之后可以再次嘗試撥入VPN骑歹。一般情況下因該能夠解決了墨微,但是博主臉黑還是不行,那沒辦了翘县,繼續(xù)改注冊表。
1.定位注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
2. 在“編輯”菜單上羡宙,單擊“新建”->“DWORD值”
3. 在“名稱”框中掐隐,鍵入“ProhibitIpSec”
4. 在“數(shù)值數(shù)據(jù)”框中,鍵入“1”匿刮,然后單擊“確定”
(ps: “ProhibitIpSec”=dword:00000000 ;使用RAS的L2TP功能[1=關(guān)閉])
這里附帶貼上兩個微軟msdn使用netdiag和Ipsecmon工具排L2TP/IPSec的排錯方法
