27
2018
06

win10系统 L2TP连接尝试失败:ERROR因为安全层在初始化与远程计算机的协商时遇到了一个处理错误

解决win10系统 L2TP连接尝试失败:ERROR因为安全层在初始化与远程计算机的协商时遇到了

打开注册表:弹出的界面,我们输入regedit,然后我们点击确定;

1 确保IPsec Policy Agent服务已启动

2 确保路由和远程访问(Routing and Remote Access)和远程访问连接管理器服务(Remote Access Connection Manager)启动

3 注册表添加 ProhibitIpSec 注册表项

  • 注册表路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

  • 创建ProhibitIpSec注册表项,选择DWORD类型并将其设置为 1 的值
     

4 注册表添加 AllowL2TPWeakCrypto 注册表项 

  • 注册表路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

  • 创建 AllowL2TPWeakCrypto 注册表项,选择DWORD类型并将其设置为 1 的值

5 重启计算机

错误描述:当连接VPN是回传错误为“ L2TP连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到了一个处理错误” 
操作系统:win10家庭版 
VPN设置: 
常规选项:配置了需要连接目标server的IP地址。 
安全选项:VPN类型如下图所示 

网络选项:在ipv4属性中配置如下:

高级选项IP设置中取消了“在远程网络上使用默认网关”然后链接时报错。因为不了解VPN服务器的配置而且其他win7的系统能链接VPN,所以只能尽可能排查win10自己系统的问题。注意win10家庭版是没有本地安全组策略的,所以要么加域推送组策略否则没有太好的办法做策略。 

在这里我们想查看服务是否启动,在这里查看到服务是没有开启的,这样我们手动触发一下。 


但是发现还是不行。这个时候为什么不问问神奇的MSDN呢?(博主还是推荐遇windows的问题多去MSDN查询结果)。 

这里我在MSDN中找到了一个答案,在下面附上链接: 

https://support.microsoft.com/zh-cn/kb/929856 

文中说明如果发生了这种情况大多数的原因发生在Windows客户端计算机使用的加密级别与VPN服务器所使用的加密级别不匹配。例如,客户端计算机使用40位或56位RC4加密算法,并且VPN服务器仅支持128位RC4加密算法,将出现此问题。 

针对客户端给出的解决办法就是添加了一条注册表记录。

添加客户端计算机上使用的 AllowL2TPWeakCrypto 注册表项来更改加密设置路由和远程访问服务。 

1. 创建 AllowL2TPWeakCrypto 注册表项,并将其设置为 1 的值。

        1. 单击开始,单击运行,键入regedit,然后单击确定

        2. 在注册表编辑器中,找到并单击以下注册表子项︰

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

        3. 在编辑菜单上,指向新建,然后单击DWORD 值。

        4. 键入AllowL2TPWeakCrypto,然后按 enter 键。

        5. 在编辑菜单上,单击修改。

        6. 在数值数据框中,键入1,然后单击确定。

        7. 在文件菜单上,单击退出以退出注册表编辑器。

1

2

3

4

5

6

7

8

9

10

2. 重新启动"路由和远程访问"服务和远程访问连接管理器服务。若要执行此操作,请按照下列步骤操作:

    1. 单击开始,右键单击我的电脑,然后单击管理。

    2. 展开服务和应用程序,然后单击服务。

    3. 路由和远程访问,请用鼠标右键单击,然后单击停止。

    4. 远程访问连接管理器中,用鼠标右键单击,然后单击停止。

    5. 远程访问连接管理器中,用鼠标右键单击,然后单击开始。

    6. 路由和远程访问,请用鼠标右键单击,然后单击开始。

1

2

3

4

5

6

7

8

请注意出于安全角度考虑,请在做修改注册表的1操作是将注册表先导出备份一个。以下是我未作修改注册表的原值:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]

"AllowL2TPWeakCrypto"=dword:00000000

"AllowPPTPWeakCrypto"=dword:00000000

"KeepRasConnections"=dword:00000000

"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

  72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

"ServiceDllUnloadOnStop"=dword:00000001

"MiniportsInstalled"=dword:0000ffff

(ps: AllowL2TPWeakCrypto )

1

2

3

4

5

6

7

8

9

10

11

12

13

14

或者更改参照给的另外一个方法:

方法 2︰ 更改在 VPN 客户端计算机上的加密设置 

更改加密在客户端计算机的 VPN 连接中要使用的设置最大强度加密。执行此操作后,三重数据加密标准 (3DES) 加密用于建立 VPN 连接。若要更改客户端计算机的 VPN 连接的加密设置,请执行以下步骤︰ 

1. 单击开始,单击运行,请在打开框中,键入ncpa.cpl ,然后单击确定。 

2. VPN 连接中,用鼠标右键单击,然后单击属性。 

3. 单击安全选项卡,单击高级 (自定义设置),然后单击设置。 

4. 在数据加密框中,单击最大强度的加密 (如果服务器拒绝将断开连接),然后单击确定两次。

重启之后可以再次尝试拨入VPN。一般情况下因该能够解决了,但是博主脸黑还是不行,那没办了,继续改注册表。 

1.定位注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 

2. 在“编辑”菜单上,单击“新建”->“DWORD值” 

3. 在“名称”框中,键入“ProhibitIpSec” 

4. 在“数值数据”框中,键入“1”,然后单击“确定” 

(ps: “ProhibitIpSec”=dword:00000000 ;使用RAS的L2TP功能[1=关闭]) 

--------------------- 

这里附带贴上两个微软msdn使用netdiag和Ipsecmon工具排L2TP/IPSec的排错方法 

https://support.microsoft.com/zh-cn/kb/259335 

https://support.microsoft.com/zh-cn/kb/248750

本站声明:网站内容来源于网络,如有侵权,请联系我们https://www.qiquanji.com,我们将及时处理。

gzh

微信扫码关注

更新实时通知

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。