By Salinna
【前言】
虛擬專用網路(Virtual Private Network,簡稱VPN),是一種常用於連接中、大型企業或團體與團體間的私人網路的通訊方法。虛擬私人網路的訊息透過公用的網路架構(例如:網際網路)來傳送內聯網的網路訊息。虛擬私人網路利用已加密的通道協議(Tunneling Protocol)來達到保密、傳送端認證、訊息準確性等私人訊息安全效果。將虛擬私人網路 (VPN) 連線與第二層通道通訊協定 (L2TP) 搭配使用,您就可以透過網際網路或其他私人網路來存取私人網路。L2TP 是標準產業網際網路通道通訊協定,與點對點通道通訊協定 (PPTP) 的功能大致相同。如果L2TP的VPN用戶端電腦位於NAT之後,則L2TP VPN用戶端和L2TP伺服器都必須支援「NAT-T(NAT-Traversal)」功能。
當用戶端或伺服器未支援NAT-T功能時,而預設Windows XP也不支援與位於NAT後面的伺服器間的IPSec NAT-T安全性關聯。因此,如果您的虛擬私人網路(VPN)伺服器位於NAT後面,Windows XP的 VPN 用戶端預設無法以 L2TP/IPsec 連線連至 VPN 伺服器,需將Windows XP預設的IPSec憑證機制停用才可解決此問題。當停用此機制,以及當沒有網域或本機原則會被指派時,L2TP 連線將會嘗試不使用IPSec (UDP 1701 封包)來建立未使用IPSec的 L2TP 通道。
★ 警告:
如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題,這些問題可能會需要您重新安裝作業系統才能解決,建議您設定前先將您的作業系統備份或建立還原點。此文設定方式參考微軟技術文件撰寫,請自行承擔修改登錄的一切風險,若有任何問題請與微軟聯絡。
【停用Windows XP預設的IPSec憑證機制設定方式】
1、 按電腦左下方「開始」à「執行」
2、 輸入「regedit」à「確定」
3、出現登錄編輯程式,點選到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
4、在選單中按右鍵選擇「新增」à「DWORD值」
5、將「新數值#1」改為「ProhibitIpSec」,此登錄值會防止建立 L2TP/IPsec 流量的自動篩選條件
6、將「 數值資料」改為「1」à「底數」為「十六進位」à「確定」
★數值註解:
數值0 (預設)會將 Windows 設定為無法與位於網路位址轉譯器後面的伺服器建立安全性關聯。
數值1會將 Windows 設定為可以與位於網路位址轉譯器後面的伺服器建立安全性關聯,路由及遠端存取 VPN 伺服器並不會建立篩選以用於 IPsec 驗證的憑證。路由及遠端存取 VPN 伺服器會使用本機 IPsec 原則或Active Directory 目錄服務IPsec 原則。
數值2會將 Windows 設定為可以在伺服器和 Windows XP SP2 用戶端電腦都位於網路位址轉譯器後面的情況下,建立安全性關聯。
7、將電腦重新開機
8、按電腦左下方「開始」à「執行」à輸入「mmc」
9、點選「檔案」à「新增/移除嵌入式管理單元」
10、按下「新增」
11、點選「IP安全性原則管理」à 按下「新增」
12、點選「本機電腦」à 按下「完成」
13、將「新增獨立嵌入式管理單元」視窗關閉,再將「新增/移除嵌入式管理單元」按下「確定」將視窗關閉
14、點選「在本機電腦上的IP安全性原則」後,按右鍵點選「建立IP安全性原則」
15、出現設定精靈,點選「下一步」
16、將「名稱」及「描述」改為「L2TP新增IP安全性原則」後按「下一步」
17、勾選「啟動預設的回應規則」後按「下一步」
18、選擇「Active Directory預設值(Kerberos V5通訊協定)」後按「下一步」(下一步後若有出現警告視窗,請不需理會按下「是」即可)
19、完成設定精靈,按下「完成」
20、將「L2TP新增IP安全性原則 內容」按「確定」關閉即完成設定
21、關閉主控台時,請記得將設定儲存