https://support.microsoft.com/zh-tw/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows
根據預設,Windows Vista 及 Windows Server 2008 作業系統不支援網際網路通訊協定安全性 (IPsec) 網路位址轉譯 (NAT) 周遊 (NAT-T) 安全性關聯到位於 NAT 裝置後面的伺服器。因此,如果虛擬私人網路 (VPN) 伺服器位於 NAT 裝置後面, Windows vista 的 VPN 用戶端電腦或 Windows Server 2008 為基礎的 VPN 用戶端電腦就無法進行第二層通道通訊協定 (L2TP) / IPsec 連線到 VPN 伺服器。此案例包含執行 Windows Server 2008 的 VPN 伺服器與 Microsoft Windows Server 2003。
因為 NAT 裝置的轉譯網路流量的方式,所以,您架設在 NAT 裝置後方的伺服器,然後使用 [IPsec NAT-T 環境時,可能會遇到未預期的結果。因此,如果您必須有 IPsec 進行通訊,我們建議您的所有伺服器使用可以從網際網路連接到之公用 IP 位址。不過,如果您有將 NAT 裝置後方的伺服器,然後使用 [IPsec NAT-T 環境,則您可以變更的登錄值,在 VPN 用戶端電腦與 VPN 伺服器上啟用通訊。
若要建立並設定AssumeUDPEncapsulationContextOnSendRule的登錄值,請依照下列步驟執行︰
- 使用者是系統管理員群組的成員身分登入 Windows Vista 用戶端電腦。
- 按一下 [開始
,指向 [所有程式、 [附屬應用程式、 按一下 [執行]、 輸入regedit,然後按一下[確定]。如果 [使用者帳戶控制] 對話方塊隨即出現在螢幕上,並提示您要升級您的系統管理員 token,請按一下 [繼續]。 - 找出並按一下下列登錄子機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
注意您也可以使用 Microsoft Windows XP Service Pack 2 (SP2) 套用AssumeUDPEncapsulationContextOnSendRule的 DWORD 值-基礎 VPN 用戶端電腦。若要這麼做,找出並按一下下列登錄子機碼︰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
- 在 [編輯] 功能表上,指向 [新增],然後按一下 [ DWORD (32 位元) 值]。
- 輸入AssumeUDPEncapsulationContextOnSendRule,然後再按 ENTER 鍵。
- 以滑鼠右鍵按一下AssumeUDPEncapsulationContextOnSendRule,,,然後按一下 [修改]。
- 在 [數值資料] 方塊中,輸入下列值之一︰
- 0
值為 0 (零) 會將 Windows 設定,讓它無法建立與伺服器位於 NAT 裝置後面的安全性關聯。這是預設值。 - 1
值為 1 設定 Windows,以便它可以建立與伺服器位於 NAT 裝置後面的安全性關聯。 - 2
值為 2 設定 Windows,以便伺服器與 Windows Vista 或 Windows Server 2008 為基礎的 VPN 用戶端電腦同時 NAT 裝置後面時,它可以建立安全性關聯。
- 按一下 [確定],然後結束 [登錄編輯程式。
- 重新啟動電腦。