Mikrotik 路由器后面的 L2TP 服务器的正确 NAT 和防火墙规则答案

【问题标题】：Proper NAT and Firewall Rules for L2TP Server behind Mikrotik RouterMikrotik 路由器后面的 L2TP 服务器的正确 NAT 和防火墙规则
【发布时间】：2020-11-09 20:03:31
【问题描述】：

我已经通过预共享密钥为 L2TP VPN 连接配置了 Windows Server 2016。服务器的 LAN 端地址是 192.10.0.100。我可以从 LAN 端访问 VPN。

从本地网络外部，我收到一条错误消息，说“远程服务器没有响应”，并提到了 NAT 或防火墙问题的可能性。

以下是我为 VPN 制定的规则：

NAT

   add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 500" \
        dst-address="Mikrotik public IP Address" dst-port=500 protocol=udp to-addresses=\
        192.10.0.100 to-ports=500
    add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 1701" \
       dst-address="Mikrotik public IP Address" dst-port=1701 protocol=udp to-addresses=\
       192.10.0.100 to-ports=1701
    add action=dst-nat chain=dstnat comment="NAT Rule for L2TP General Port 4500" \
       dst-address="Mikrotik public IP Address" dst-port=4500 protocol=udp to-addresses=\
       192.10.0.100 to-ports=4500

防火墙：

add action=accept chain=input comment="allow L2TP port 500" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow L2TP port 1701" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow L2TP port 4500" dst-port=4500 \
    protocol=udp
add action=accept chain=forward comment=\
    "Allow forwarding for L2TP VPN (udp)" dst-address=192.10.0.100 \
    protocol=udp

客户端似乎可以联系服务器，但没有得到响应。是否有另一个 NAT 用于我缺少的返回流量？提前致谢。

【问题讨论】：

你使用 IKEv2 吗？如果是这样，MK FW 添加协议 50 (ipsec-esp) 51 (ipsec-ah) 的接受规则。如果 FW 允许连接到被提及的端口，还要检查你的 windows 服务器防火墙。

标签： firewall nat windows-server-2016 mikrotik

【解决方案1】：

如果您收到指示防火墙问题的错误消息，可能会检查您的客户端和服务器端注册表条目。

关于在 Windows 服务器上设置 L2TP VPN 的说明 here 指出，您必须在服务器和客户端的注册表中添加一个双字值才能使 NPS 更改生效。

前往

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> PolicyAgent

添加

AssumeUDPEncapsulationContextOnSendRule

将数值数据更改为 2。

事实证明，您不需要在 LAN 端测试 VPN，而是在 WAN 端测试。因此，在我能够从我的 MacBook Pro 连接到 VPN 之前，我没想过要检查我的拼写。

【讨论】：