配置 IPsec/L2TP VPN 客户端

注: 你也可以使用 IKEv2(推荐)或者 IPsec/XAuth 模式连接。

按照下面的步骤来配置你的设备。IPsec/L2TP 在 Android, iOS, OS X 和 Windows 上均受支持,无需安装额外的软件。设置过程通常只需要几分钟。如果无法连接,请首先检查是否输入了正确的 VPN 登录凭证。


Windows

注: 你也可以使用 IKEv2 模式连接(推荐)

Windows 10 and 8.x

  1. 右键单击系统托盘中的无线/网络图标。
  2. 选择 打开网络和共享中心。或者,如果你使用 Windows 10 版本 1709 或以上,选择 打开”网络和 Internet”设置,然后在打开的页面中单击 网络和共享中心
  3. 单击 设置新的连接或网络
  4. 选择 连接到工作区,然后单击 下一步
  5. 单击 使用我的Internet连接 (VPN)
  6. 在 Internet地址 字段中输入你的 VPN 服务器 IP
  7. 在 目标名称 字段中输入任意内容。单击 创建
  8. 返回 网络和共享中心。单击左侧的 更改适配器设置
  9. 右键单击新创建的 VPN 连接,并选择 属性
  10. 单击 安全 选项卡,从 VPN 类型 下拉菜单中选择 “使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec)”。
  11. 单击 允许使用这些协议。选中 “质询握手身份验证协议 (CHAP)” 和 “Microsoft CHAP 版本 2 (MS-CHAP v2)” 复选框。
  12. 单击 高级设置 按钮。
  13. 单击 使用预共享密钥作身份验证 并在 密钥 字段中输入你的 VPN IPsec PSK
  14. 单击 确定 关闭 高级设置
  15. 单击 确定 保存 VPN 连接的详细信息。

注: 在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。

另外,除了按照以上步骤操作,你也可以运行下面的 Windows PowerShell 命令来创建 VPN 连接。将 你的 VPN 服务器 IP 和 你的 VPN IPsec PSK 换成你自己的值,用单引号括起来:

# 不保存命令行历史记录
Set-PSReadlineOption –HistorySaveStyle SaveNothing
# 创建 VPN 连接
Add-VpnConnection -Name 'My IPsec VPN' -ServerAddress '你的 VPN 服务器 IP' -L2tpPsk '你的 VPN IPsec PSK' -TunnelType L2tp -EncryptionLevel Required -AuthenticationMethod Chap,MSChapv2 -Force -RememberCredential -PassThru
# 忽略 data encryption 警告(数据在 IPsec 隧道中已被加密)

Windows 7, Vista and XP

  1. 单击开始菜单,选择控制面板。
  2. 进入 网络和Internet 部分。
  3. 单击 网络和共享中心
  4. 单击 设置新的连接或网络
  5. 选择 连接到工作区,然后单击 下一步
  6. 单击 使用我的Internet连接 (VPN)
  7. 在 Internet地址 字段中输入你的 VPN 服务器 IP
  8. 在 目标名称 字段中输入任意内容。
  9. 选中 现在不连接;仅进行设置以便稍后连接 复选框。
  10. 单击 下一步
  11. 在 用户名 字段中输入你的 VPN 用户名
  12. 在 密码 字段中输入你的 VPN 密码
  13. 选中 记住此密码 复选框。
  14. 单击 创建,然后单击 关闭 按钮。
  15. 返回 网络和共享中心。单击左侧的 更改适配器设置
  16. 右键单击新创建的 VPN 连接,并选择 属性
  17. 单击 选项 选项卡,取消选中 包括Windows登录域 复选框。
  18. 单击 安全 选项卡,从 VPN 类型 下拉菜单中选择 “使用 IPsec 的第 2 层隧道协议 (L2TP/IPSec)”。
  19. 单击 允许使用这些协议。选中 “质询握手身份验证协议 (CHAP)” 和 “Microsoft CHAP 版本 2 (MS-CHAP v2)” 复选框。
  20. 单击 高级设置 按钮。
  21. 单击 使用预共享密钥作身份验证 并在 密钥 字段中输入你的 VPN IPsec PSK
  22. 单击 确定 关闭 高级设置
  23. 单击 确定 保存 VPN 连接的详细信息。

注: 在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。

OS X

  1. 打开系统偏好设置并转到网络部分。
  2. 在窗口左下角单击 + 按钮。
  3. 从 接口 下拉菜单选择 VPN
  4. 从 VPN类型 下拉菜单选择 IPSec 上的 L2TP
  5. 在 服务名称 字段中输入任意内容。
  6. 单击 创建
  7. 在 服务器地址 字段中输入你的 VPN 服务器 IP
  8. 在 帐户名称 字段中输入你的 VPN 用户名
  9. 单击 认证设置 按钮。
  10. 在 用户认证 部分,选择 密码 单选按钮,然后输入你的 VPN 密码
  11. 在 机器认证 部分,选择 共享的密钥 单选按钮,然后输入你的 VPN IPsec PSK
  12. 保持 群组名称 字段空白。
  13. 单击 
  14. 选中 在菜单栏中显示 VPN 状态 复选框。
  15. (重要) 单击 高级 按钮,并选中 通过VPN连接发送所有通信 复选框。
  16. (重要) 单击 TCP/IP 选项卡,并在 配置IPv6 部分中选择 仅本地链接
  17. 单击  关闭高级设置,然后单击 应用 保存VPN连接信息。

Android

  1. 启动 设置 应用程序。
  2. 单击 网络和互联网。或者,如果你使用 Android 7 或更早版本,在 无线和网络 部分单击 更多…
  3. 单击 VPN
  4. 单击 添加VPN配置文件 或窗口右上角的 +
  5. 在 名称 字段中输入任意内容。
  6. 在 类型 下拉菜单选择 L2TP/IPSec PSK
  7. 在 服务器地址 字段中输入你的 VPN 服务器 IP
  8. 保持 L2TP 密钥 字段空白。
  9. 保持 IPSec 标识符 字段空白。
  10. 在 IPSec 预共享密钥 字段中输入你的 VPN IPsec PSK
  11. 单击 保存
  12. 单击新的VPN连接。
  13. 在 用户名 字段中输入你的 VPN 用户名
  14. 在 密码 字段中输入你的 VPN 密码
  15. 选中 保存帐户信息 复选框。
  16. 单击 连接

iOS

  1. 进入设置 -> 通用 -> VPN。
  2. 单击 添加VPN配置…
  3. 单击 类型 。选择 L2TP 并返回。
  4. 在 描述 字段中输入任意内容。
  5. 在 服务器 字段中输入你的 VPN 服务器 IP
  6. 在 帐户 字段中输入你的 VPN 用户名
  7. 在 密码 字段中输入你的 VPN 密码
  8. 在 密钥 字段中输入你的 VPN IPsec PSK
  9. 启用 发送所有流量 选项。
  10. 单击右上角的 完成
  11. 启用 VPN 连接。

Chromebook

  1. 如果你尚未登录 Chromebook,请先登录。
  2. 单击状态区(其中显示你的帐户头像)。
  3. 单击 设置
  4. 在 互联网连接 部分,单击 添加连接
  5. 单击 添加 OpenVPN / L2TP
  6. 在 服务器主机名 字段中输入你的 VPN 服务器 IP
  7. 在 服务名称 字段中输入任意内容。
  8. 在 供应商类型 下拉菜单选择 L2TP/IPsec + 预共享密钥
  9. 在 预共享密钥 字段中输入你的 VPN IPsec PSK
  10. 在 用户名 字段中输入你的 VPN 用户名
  11. 在 密码 字段中输入你的 VPN 密码
  12. 单击 连接

Linux

Ubuntu Linux

  1. 进入 Settings -> Network -> VPN。单击 + 按钮。
  2. 选择 Layer 2 Tunneling Protocol (L2TP)
  3. 在 Name 字段中输入任意内容。
  4. 在 Gateway 字段中输入你的 VPN 服务器 IP
  5. 在 User name 字段中输入你的 VPN 用户名
  6. 右键单击 Password 字段中的 ?,选择 Store the password only for this user
  7. 在 Password 字段中输入你的 VPN 密码
  8. 保持 NT Domain 字段空白。
  9. 单击 IPsec Settings… 按钮。
  10. 选中 Enable IPsec tunnel to L2TP host 复选框。
  11. 保持 Gateway ID 字段空白。
  12. 在 Pre-shared key 字段中输入你的 VPN IPsec PSK
  13. 展开 Advanced 部分。
  14. 在 Phase1 Algorithms 字段中输入 aes128-sha1-modp2048
  15. 在 Phase2 Algorithms 字段中输入 aes128-sha1
  16. 单击 OK,然后单击 Add 保存 VPN 连接信息。
  17. 启用 VPN 连接。

Fedora 和 CentOS

Fedora 28(和更新版本)和 CentOS 8/7 用户可以使用 IPsec/XAuth 模式连接。

其它 Linux

确认 network-manager-l2tp 和 network-manager-l2tp-gnome 软件包是否在你的 Linux 版本上可用。如果可用,安装它们(选择使用 strongSwan)并参见上面的说明。另外,你也可以 使用命令行配置 Linux VPN 客户端

故障排除

Windows 错误 809

错误 809:无法建立计算机与 VPN 服务器之间的网络连接,因为远程服务器未响应。这可能是因为未将计算机与远程服务器之间的某种网络设备(如防火墙、NAT、路由器等)配置为允许 VPN 连接。请与管理员或服务提供商联系以确定哪种设备可能产生此问题。

注: 仅当你使用 IPsec/L2TP 模式连接到 VPN 时,才需要进行下面的注册表更改。对于 IKEv2 和 IPsec/XAuth 模式,无需进行此更改。

要解决此错误,在首次连接之前需要修改一次注册表,以解决 VPN 服务器 和/或 客户端与 NAT (比如家用路由器)的兼容问题。请下载并导入下面的 .reg 文件,或者打开 提升权限命令提示符 并运行以下命令。完成后必须重启计算机。

适用于 Windows Vista, 7, 8.x 和 10 (下载 .reg 文件)

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

仅适用于 Windows XP (下载 .reg 文件)

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\IPSec /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f

另外,某些个别的 Windows 系统配置禁用了 IPsec 加密,此时也会导致连接失败。要重新启用它,可以运行以下命令并重启。

适用于 Windows XP, Vista, 7, 8.x 和 10 (下载 .reg 文件)

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f