问题描述:
当使用Azure的point to site VPN连接虚拟机的时候出现错误809。
The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem. (Error 809)
原因分析:
如果您收到 VPN 错误 809,则表示您的计算机和 VPN 服务器之间的网络连接无法建立,因为远程服务器没有响应。
VPN 错误 809 通常是由于客户端和服务器之间的防火墙阻止了 VPN 隧道使用的端口。
最重要的是,默认情况下,Windows 不支持与 NAT 设备后面的服务器的 IPsec NAT-T 安全关联。
出现错误时,事件日志也不会显示任何相关日志,因为流量无法到达 MX 的 WAN 接口。
日志中出现的错误信息:
解决办法:
#1、 确保自己客户端已经打开连接所需的端口
如果可以直接关闭防火墙(有人说太暴力,那么你对)
请确保打开如下列表中的端口。
- 用于 SSTP 的 TCP 端口 443
- 用于 L2TP/IPsec 或 IKEv2/IPsec 的 UDP 端口 500 或 4500
怎么看自己的VPN协议,参照下图:
如果都不行,请在 VPN 提供商上部署基于 SSTP 或 OpenVPN 的隧道。这允许 VPN 连接跨防火墙、NAT 和 Web 代理工作。
总之一定要:确保允许 UDP 端口 500 和 4500 通过客户端和 RRAS 服务器之间的所有防火墙。
#2、 对系统注册表进行小修改
- 进入到系统注册表(拜托别问我怎么进入!!!我相信你也不需要我告诉!)
- 依次进入到下面位置:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
- 鼠标右键空白,新建DWORD (32-bit) Value
- 名称填入: AssumeUDPEncapsulationContextOnSendRule并回车
- 双击新建的注册表,选16进制,并填入数值
2。点击OK。 - 重启电脑
#3、 禁用 Xbox Live 网络服务
- 进入到系统服务(拜托别问我怎么进入!!!我相信你也不需要我告诉!)
- 下拉,拉倒最下面,找到
Xbox Live Networking Services - 设置成禁用Disabled状态即可
#4、 其他可能
如果你的反恶意软件解决方案与 Windows 10 不兼容,它可能会破坏 IPsec 连接。 所以你应该暂时禁用它,看看它是否是 VPN 错误 809 的根源。
另外出现809除了排查客户端外,也可能是服务器端问题,比如服务器端被禁用了连接,也需要进行排查。
参照:
- https://learn.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/deploy/always-on-vpn-deploy-troubleshooting
- https://docs.azure.cn/zh-cn/articles/azure-operations-guide/vpn-gateway/aog-vpn-gateway-howto-locate-connectivity-problems-quickly
注:本文原创由 bluetata 发布于https://bluetata.blog.csdn.net/、转载请务必注明出处。