Compartilhar via

Windows Server 2008 (e R2): Como configurar um servidor L2TP/IPsec atrás de um dispositivo NAT-T

  • Artigo

Por predefinição sistemas operacionais da família Windows Vista e Windows Server 2008 não suportam as associações de segurança Tranversal, conhecida comumente como NAT, como conversão de endereço de rede (IPsec) de protocolo Internet (NAT) para servidores localizados atrás de um dispositivo NAT (firewall, IDS, IPS). Isso significa que se o servidor VPN estiver atrás de um dispositivo NAT, um computador cliente VPN baseado no Windows Vista ou um computador cliente VPN baseado no Windows Server 2008 não pode estabelecer uma conexão L2TP/IPsec. Esse cenário inclui servidores VPN que estejam executando o Windows Server 2008 e o Microsoft Windows Server 2003 (este passo a passo esta ratificado pelo kb926179 e foi testado pelo autor em ambiente real).

A Microsoft não recomenda a migração de NAT por protocolo Internet (IPSec) para implantações do Windows que incluem servidores VPN e que estão localizadas atrás de tradutores de endereços de rede. Quando um servidor está por trás de um conversor de endereços de rede utilizando IPSec NAT-T, ocorrem diversos efeitos colaterais não intencionais devido à forma como os tradutores de endereço de rede interpretam o tráfego de rede.

Se você precisar de IPSec para comunicação, a Microsoft recomenda que utilize endereços IP públicos para todos os servidores aos quais possa se conectar diretamente através da Internet. Os computadores cliente baseados no Windows que suportam IPSec NAT-T podem ser localizados atrás de um conversor de endereços de rede.

Devido à forma como os dispositivos NAT traduzem o tráfego de rede, poderá detectar resultados inesperados quando coloca um servidor atrás de um dispositivo NAT e, em seguida, utiliza um ambiente IPsec NAT-T. Portanto, se você estiver utilizando IPsec para comunicação recomendo que utilize endereços IP públicos para todos os servidores que podem se conectar através da Internet. No entanto, se você tiver que colocar um servidor atrás de um dispositivo NAT e usar um ambiente IPsec NAT-T, poderá ativar a comunicação alterando um valor de registro no computador cliente VPN e no servidor VPN. Devemos configurar a entrada AssumeUDPEncapsulationContextOnSendRule dentro da chave de registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
**
**

Siga os seguintes passos para efetuar a configuração:

  1. Efetue logon em seu servidor com uma conta que possua privilégios administrativos;
  2. Clique no botão Iniciar, aponte para All Programs, clique em Accessories, clique em Run, digite regedit e pressione a tecla Enter;
  3. Localize as chaves de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
  4. No menu Editar, aponte para New, clique em DWORD (32-bit);
  5. Digite a entrada AssumeUDPEncapsulationContextOnSendRule, e pressione a tecla ENTER;
  6. De um duplo click em AssumeUDPEncapsulationContextOnSendRule e clique em Modify;
  7. Mude o valor da entrada de 0 para 1 ou para 2;
    • Obs.: Um valor de 0 (zero) configura o Windows para que não possa estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT. Este é o valor padrão da chave. Se modificarmos para 1 o Windows poderá estabelecer associações de segurança com servidores localizados atrás de dispositivos NAT. O valor de número 2 configura o Windows para que possa estabelecer associações de segurança quando o servidor e o computador cliente VPN baseado no Windows Vista ou baseado no Windows Server 2008 estiverem atrás de dispositivos NAT;
  8. Click OK, e saia do editor de registros;
  9. Reinicie o servidor.

Isso pode ajudar mas não resolve completamente a questão. Você precisa inclusive validar seus equipamentos de borda (Firewalls, IDS, IPS), para saber se existe suporte completo ao redirecionamento de trafego L2TP. Tive problemas com alguns modelos do Dell Sonicwall e Cisco RV042, que não suportavam esse redirecionamento, me obrigando a ratar o caso de forma mais pontual.

Dica: Este processo depende do Firewall de borda de sua empresa. Efetuei testes com servidores Microsoft Windows Server 2008 e 2012 R2 com firewall Sonicwall TZ-205 como borda e funcionou. Não funcionou com equipamentos TZ-170 e Cisco RV042. Mesmo atualizando os firmware não houve funcionamento.

Obs.: Aproveite e veja também o passo a passo de como montar uma VPN Site-to-Site com o Windows Server 2012 R2 - PPTP (dica do Popovici)
http://htbraz.blogspot.com.br/2016/05/passo-passo-de-como-montar-uma-vpn-site.html