Mikrotik vpn l2tp ошибка на уровне безопасности

Если у вас при подключение VPN на windows 10, 7 или 11 вылетает сообщение с ошибкой: “Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером” в данной статье я расскажу как решить данную ошибку.

Всем привет! 2022 год начался с того, что все сотрудники начали один за другим жаловаться на то что при подключении VPN вылетают предупреждения:

1. Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером
2. Не удалось установить связь по сети между компьютером и VPN-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств(таких как брандмауэры, NAT, маршрутизаторы и т.п.) между компьютером и удаленным сервером не настроено для разрешения VPN-подключений

В своем офисе я использую оборудования от фирмы Микротик (Mikrotik) и не наблюдал за ним ничего такого, что могло как то повлиять на работу L2TP сервера, поэтому предполагаю, что это накатились какие то обновления на windows

Попытка L2TP-подключения не удалась из-за ошибки (Ошибка 789)

Для решения это ошибки делаем следующее:

1. открываем реестр
2. ищем ветку
   HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters
3. создаем параметр ProhibitIpSec со значением 1
   
4. после внесения перезагружаем windows
5. продуем подключиться по VPN
   
6.  радуемся жизни и ставим лайки! (но если инструкция не помогла пишите в комментах, будем разбираться)

Если вам не помог этот вариант, просьба убедиться в том, что у вас параметр ProhibitIpSec скопировался правильно и в конце не стоит пробел!!!!  Этот способ 100% рабочий и я сам не мог понять почему не получался этот вариант у моих читателей пока не увидел, что этот параметр многие копировали с пробелом!!!!

Обновление Windows делает невозможным подключение через VPN (L2TP)

UPD. спасибо за комментарий моего читателя который прислал статью на информацию об этой проблеме

Итак, обновления от 11 января 2022 года, которые, вероятно, и являются причиной данной проблемы:

• Windows 10 — KB5009543 (также упоминается KB5008876)
• Windows 11 — KB5009566 (также упоминается KB5008880)

Упомянутые в скобках обновления пришли параллельно с проблемными, судя по комментариям они к рассматриваемой проблеме отношения не имеют.

Стоит отметить что обновление не в 100 % случаях приводит к проблеме, частично это зависит от конечной точки к которой осуществляется подключение. Проблема наблюдается как при создании нового подключения так и для уже для настроенных подключений.

Если обновление уже установлено в качестве решения проблемы на данный момент предлагается только откат обновления, например следующим PowerShell-скриптом (требуются админские права).

if (get-hotfix -id KB5009543) { wusa /uninstall /kb:5009543 }

if (get-hotfix -id KB5009566) { wusa /uninstall /kb:5009566 }

В Windows 10 вы можете настроить VPN-сеть средствами операционной системы, не прибегая к помощи сторонних программ. Для удобного создания VPN-подключения в Windows 10 и 11 разработчиками был реализован соответствующий графический интерфейс раздела приложения «Параметры», в котором пользователю предлагается ввести данные провайдера VPN. К сожалению, данная функция не отшлифована до конца.

На что указывают разные ошибки, время от времени выдаваемые системой при подключении к виртуальной сети.

Наиболее распространённой неполадкой при подключении к VPN в Windows 10 является сбой соединения L2TP, при этом система выдает сообщение «Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…». Неполадка может быть вызвана некорректными настройками одного или нескольких сетевых устройств, однако, если вы не вносили изменений в их конфигурацию и до появления первого сбоя всё работало нормально, высока вероятность того, что причиной сбоя стали баги в обновлениях операционной системы.

Примечание: L2TP — это протокол соединения второго уровня, используемый в виртуальных сетях и представляющий собой расширение двухточечного протокола PPP, обеспечивающего прямую связь между устройствами. Основным преимуществом протокола L2TP является поддержка не только сетей IP, но также ATM, X.25 и Frame Relay.

Так, было замечено, что указанная ошибка в Windows 10 стала появляться после установки накопительных обновлений безопасности KB5009543 и KB5009566.

Откройте журнал обновлений и посмотрите, имеются ли эти апдейты на вашем ПК.

Если да, удалите их и перезагрузите компьютер.

Если решение не дало положительного результата или обновления не установлены, переходим к другим способам устранения неполадки.

Проверьте настройки виртуального адаптера

1. Откройте командой ncpa.cpl настройки сетевых подключений, кликните по вашему виртуальному адаптеру правой кнопкой мыши и выберите «Свойства»;

1. Переключитесь в окошке свойств на вкладку «Безопасность», активируйте радиокнопку «Разрешить следующие протоколы» и отметьте флажком пункт «Протокол Microsoft CHAP версии 2»;

1. Переключитесь на вкладку «Параметры» и нажмите кнопку «Параметры PPP»;

1. Откроется диалоговое окошко параметров PPP. Убедитесь, что в пункте «Включить расширения LCP» установлена галочка. Если ее нет, поставьте и сохраните настройки.

Отсутствие или неверные настройки ключей реестра

Ошибка подключения L2TP может быть вызвана отсутствием или неверным значением предварительных ключей ProhibitIPSec и AllowL2TPWeakCrypto, обеспечивающих соединение с использованием протокола L2TP/IPSec.

Если в свойствах VPN-подключения у вас выставлен тип L2TP, стоит проверить записи ветки реестра:

HKLMSystemCurrentControlSetServicesRasmanParameters

Откройте редактор реестра командой regedit, перейдите к указанной ветке и проверьте наличие в правой колонке DWORD-параметра ProhibitIPSec. Если таковой отсутствует, создайте его вручную.

И установите в качестве его значения 1.

Заодно проверяем наличие DWORD-параметра AllowL2TPWeakCrypto, он также должен иметь значение 1.

Если параметр отсутствует, создаем его, сохраняем настройки, перезагружаем компьютер и пробуем подключиться к VPN.

Поднимал ipsec между керио и микротом (микротик пассив)
Тунель обрывался и в логах микротик ругался следующим: «failed to pre-process ph2 packet»
Весь мозг сломал… Много копий сломали со спецом по керио… В итоге наткнулся на статью: https://bozza.ru/art-247.html
=======
Содержание статьи таково:
Проблема: при абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение.
При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности…
Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.
=======
Об этом нельзя догадаться, это нужно просто запомнить… Так что, товарищи, запоминаем…….
=====
UP — По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF

Пользователи виртуальной частной сети, более известной как VPN, все чаще встречаются с проблемой, которая гласит «Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером». Наиболее вероятной причиной появления такой ошибки являются обновления KB5009543 и KB5009566. То есть проблему можно решить, избавившись от них. В случае если у вас не получается, или это действие не исправляет ошибку, то перейдем к более радикальному методу.

Для этого нам необходимо внести кое-какие изменения в реестр.

1. Нажимаем комбинацию «Win+R», прописываем regedit и щелкаем на Enter.

2. Переходим по маршруту:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters

3. В пустой правой части кликаем ПКМ и щелкаем по строке «Создать».

4. Затем кликаем на «Параметр Dword».

5. Название даем такое: ProhibitIpSec.

6. Затем дважды щелкаем по созданному параметру и в качестве значения выставляем 1.

7. Кликаем на «Ок» и перезапускаем ПК.

Некоторые юзеры заявляют, что можно воспользоваться таким способом.

1. Заходим в поиск Windows, вводим cmd и щелкаем по результату.

2. Прописываем: ipconfig /renew

3. Пробуем заново подключиться.

1. Нажимаем ПКМ по рабочему столу, выбираем «Создать», «Текстовый документ», присваиваем расширение .reg.

2. Затем открываем созданный файл и прописываем там:

REGEDIT4

[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters] 

"ProhibitIpSec"=dword:00000001

3. Нажимаем «Файл» и «Сохранить как».

4. Затем вводим любое название, дописываем .reg и обязательно в кавычках, например «tweak.reg». Нажимаем «Ок».

5. Далее запускаем созданный файл от имени администратора и перезапускаем ПК.

Используя эти варианты решения, ошибка должна исчезнуть и перестать возникать.