カテゴリー
Network

Windows で VPN に接続できない

この記事はWindowsクライアントでのVPN 接続についてですが、まずは OSX Server の話を少々。

OSX Server で寄せられるトラブルの中に Windows7~10から L2TP/IPsec VPN 接続ができないというものがあるようで、アップル曰く、「Windows が IPSec NAT Traversal を処理するデフォルトの方法に問題があります」とのことです。

参考:http://support.apple.com/kb/HT5078?viewlocale=ja_JP

ということで、 Mac Server での VPN だけではなく、10や~7、 Vista など XP 以降の Windows クライアントから繋がらないという現象は多いようです。

NAT Traversal を制御する

VPN 接続時のクライアント側でエラーもいろいろとあるとは思いますが、多いのは619・809・789あたりでしょうか。
809の場合はクライアントからの通信が VPN サーバーまで行き着いていません。
クライアント機での設定の他、ルータ・ファイヤーウォール・ NAT などが原因の可能性もありますので、念のためにチェックしてみましょう。

問題がなければ、レジストリより Windows IPSec NAT Traversal の動作を変更します。

※レジストリの変更はパソコンが起動しなくなる恐れもありますので、くれぐれも注意が必要です。

「レジストリエディタ」により下記レジストリキーを追加します。

「 HKEY_LOCAL_MACHINE 」→「 SYSTEM 」→「 CurrentControlSet 」→「 services 」→「 PolicyAgent 」を展開します。

「 PolicyAgent 」の中に新規で「 AssumeUDPEncapsulationContextOnSendRule 」を DWORD32ビット値で作成します。値は基本的には2を入力します。
パソコンを再起動します。

ちなみに値は0~2で設定でき、下記のように使い分けるようです。

0→NAT トラバーサル無効
1→NAT トラバーサル有効(クライアントが NAT 機器の背後にある場合)
2→NAT トラバーサル有効(サーバーとクライアントの両方が NAT 機器のにある場合)

ここまでで、619・809エラーは回避できると思います。

ローカルセキュリティポリシーの変更

789は「はじめのネゴエーションでのセキュリティエラー」でクライアント側のセキュリティ設定によるものが多いようです。
このエラーで接続できない場合は「ローカルセキュリティポリシー」にて LAN Manager 認証レベルの変更が必要です。

「ローカルセキュリティポリシー」→「ネットワークセキュリティ: LAN Manager 認証レベル」→ドロップダウンリストで、「 LM と NTLM を送信する~ネゴシエーションの場合、 NTLMv2 セッション セキュリティを使う」を選択します。

また、「ネットワークセキュリティ: NTLM SSP ベース (セキュア RPC を含む) のクライアント向け最小セッション」の「128ビット暗号化が必要」のチェックボックスを解除します。

この LAN Manager の認証レベルはレジストリーで設定することもできます。

「 HKEY_LOCAL_MACHINE 」→「 SYSTEM 」→「 CurrentControlSet 」→「 Control 」→「 Lsa 」

「 LmCompatibilityLevel 」レジストリキーを DWORD32ビット値で作成し、1の値を入力すると上記、 GUI 「ローカルセキュリティポリシー」での「 LM と NTLM を送信する~ネゴシエーションの場合、 NTLMv2 セッション セキュリティを使う」と同じです。

※Windows Vista 以降の Home Premium の場合は基本的に「ローカルセキュリティポリシー」自体がありませんので、この方法でレジストリーを追加する必要があります。

ちなみに「 LmCompatibilityLevel 」では0~5の設定ができ、数字が大きいほどセキュリティレベルが高くなります。

前述のアップルの解説でも値は1にということなのですが、わたしの環境では実際に3でも OSX Server の L2TP/IPsec に接続可能ですので、どうも環境によって異なるように思えます。

また、 VPN でアクセスに限らず、ネットワーク上には Windows 以外に Mac ・ UNIX ・ NAS などが混在している場合があります。
これらの機器と Windows クライアントとは基本的に SMB というプロトコルを使って通信しますが、ここにも LAN Manager 認証レベルが関わってきます。
それらの Samba バージョンによっては Windows からアクセスできないという現象が見られ、この場合はセキュリティレベルの調整が必要となってきます。

新しい WindowsPC が既存の NAS に接続できない

この記事が役に立ったら「いいね」!

profile image

執筆:R3098

WEB サービス構築・監修が生業です。 WordPress 関連では Aurora Heatmap などプラグイン開発も行っています。悩めるサイト運営者の無料相談受付けます!

  • タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトは reCAPTCHA によって保護されており、Google のプライバシーポリシー および 利用規約 に適用されます。

reCaptcha の認証期間が終了しました。ページを再読み込みしてください。