Descrição
As ligações VPN L2TP entre clientes Windows e servidores Windows Server não funcionam de forma imediata quando existe NAT no caminho. Sempre que o cliente ou o servidor se encontram atrás de dispositivos NAT, o processo de estabelecimento da sessão IPsec pode falhar. Apenas em cenários onde ambos possuem endereços públicos estas ligações funcionam sem ajustes adicionais.
Para permitir o funcionamento do L2TP em ambientes com NAT, é necessário alterar um parâmetro no registo do Windows no lado do cliente, ativando o contexto de encapsulamento UDP para IPsec.
Procedimento
A alteração é realizada no registo do Windows e exige permissões de administrador. Após aplicar a configuração, o computador deve ser reiniciado.
Passo 1
Abrir o Editor de Registo
Abrir o menu Start
Selecionar Run
Escrever regedit e confirmar
Passo 2
Navegar até à chave do PolicyAgent
HKEY_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Services
PolicyAgent
Passo 3
Criar uma nova entrada DWORD de 32 bits
Nome da entrada: AssumeUDPEncapsulationContextOnSendRule
Passo 4
Definir o valor adequado
Abrir a entrada criada e configurar o valor numérico de acordo com a necessidade.
Valores possíveis
0
Comportamento por omissão. O Windows não estabelece associações de segurança com servidores atrás de NAT.
1
Permite estabelecer associações de segurança com servidores que estejam atrás de NAT.
2
Permite estabelecer associações de segurança mesmo quando tanto o cliente como o servidor estão atrás de dispositivos NAT. Este é o valor recomendado para ligações L2TP típicas.
Definir o valor para 2.
Passo 5
Guardar e fechar o Editor de Registo.
Passo 6
Reiniciar o computador para aplicar a configuração.
Conclusão
A configuração AssumeUDPEncapsulationContextOnSendRule é essencial para permitir que clientes Windows estabeleçam túneis L2TP em ambientes onde um ou ambos os lados da ligação se encontram atrás de dispositivos NAT. Esta alteração garante que o IPsec consegue encapsular de forma adequada o tráfego necessário para o estabelecimento da VPN.