Дополнение к инструкции
https://yadi.sk/i/NW1fEm98ctFVo Не забываем в первую очередь, если файрволл находится за роутером, пробросить на роутере порты
Протокол: UDP, порт 1701
Протокол: UDP, порт 500 (для IKE, для управления ключами шифрования)
Протокол: UDP, порт 4500 (для режима IPSEC NAT-Traversal)
Для клиентов Windows, как сказано в инструкции, надо использовать SHA1 в меню IPsec Algorithms и IKE Algorithms.
Если прошивка позволяет и вы не заморачиваетесь ограничениями на шифрование - в тех же меню можно использовать AES 128 - выбираете шифрование AES, все остальные варианты можно отключить.
Если хотите использовать DES - в Windows надо понизить требования к шифрованию.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters
AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
Если ваш файрволл и клиент Windows находятся за NAT, ОБЯЗАТЕЛЬНО установить параметр AssumeUDPEncapsulationContextOnSendRule
Из интернета:
VPN ошибка 809 для L2TP/IPSec в Windows за NAT
проблема эта уже известна и описана в статье
https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.
Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.
Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.
Откройте редактор реестра regedit.exe и перейдите в ветку:
Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2
Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:
0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
1 – VPN сервер находится за NAT;
2 — и VPN сервер и клиент находятся за NAT (установить в это значение)
Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.
Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.
Логи при ошибке соединения смотреть D-Link DFL Traffic Counter.
Если в логах дропает по порту 1701
Warning RULE 6000051 Default_Rule UDP wan ip_of_client wan_ip 1701 1701 ruleset_drop_packet
drop
то скорее всего у вас по совету из интернета установлен ProhibitIPSec – 1 (отключает шифрование IPsec для L2TP)
установите ProhibitIPSec – 0
В PSK из-за разных кодировок в NetDefendOS и Windows использовать только цифры.
Все должно работать.