Rasclient код ошибки 809

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

Если подключаться к этому же VPN серверу через PPTP, подключение успешно устанавливается.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра
   regedit.exe
   и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
   

   Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:

   • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

В некоторых случаях для корректной работы VPN необходимо открыть дополнительное правило в межсетевом экране для порта TCP 1701 (в некоторых реализациях L2TP этот порт используется совмести с UDP 1701).

NAT-T не корректно работал в ранних редакциях Windows 10, например, 10240, 1511, 1607. Если у вас старая версия, рекомендуем обновить билд Windows 10.

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

Виртуальная частная сеть (VPN) — это универсальное решение для обеспечения безопасности и конфиденциальности в Интернете. Когда они работают, они великолепны, но когда они этого не делают, они могут оставить вас в замешательстве. Для VPN-подключений довольно часто возникают проблемы. Примерно существуют сотни различных кодов ошибок VPN, но в большинстве случаев появляются только несколько. Если вы используете устройство Windows и VPN, то весьма часто встречается ошибка VPN 809.

Эта ошибка обычно возникает, когда Windows не позволяет установить VPN через брандмауэр. Кроме того, если вы не используете брандмауэр, но находитесь на устройстве NAT, эта ошибка может появиться.

Трансляция сетевых адресов (NAT) предназначена для сохранения IP-адресов. Это позволяет частным IP-сетям с незарегистрированными IP-адресами подключаться к Интернету. NAT обычно работает на маршрутизаторе, соединяющем две или более сетей, и превращает незарегистрированную сеть в юридические адреса. Устройства NAT имеют особый способ трансляции сетевого трафика, и когда вы помещаете сервер за устройством NAT и используете среду IPsec NAT-T, вы можете получить эту ошибку.

Вы получите сообщение об ошибке с указанием;

Не удалось установить сетевое соединение между вашим компьютером и сервером VPN, поскольку удаленный сервер не отвечает.

Кроме того, когда появляется ошибка, журнал событий также не отображает никаких связанных журналов, потому что трафик не достигнет интерфейса WAN MX.

Вы можете выбрать следующие варианты устранения неполадок VPN Ошибка 809:

1. Включите порты на вашем брандмауэре/маршрутизаторе
2. Добавить значение в реестр Windows
3. Отключить службы Xbox Live Networking
4. Проверьте настройки PAP
5. Отключить сторонние приложения

Давайте рассмотрим эти варианты устранения неполадок подробнее.

Вариант 1. Включите порты на вашем брандмауэре/маршрутизаторе

Код ошибки VPN «Всегда включен» 809 вызван тем, что порт PPTP (TCP 1723) или порт L2TP или порт IKEv2 (порт UDP 500 или 4500) заблокирован на сервере VPN или брандмауэре. Решение состоит в том, чтобы включить эти порты на брандмауэре или маршрутизаторе. Вы можете попробовать развернуть VPN-туннель на основе SSTP или OpenVPN у своего VPN-провайдера. Это позволит VPN-соединению беспрепятственно работать через брандмауэр, NAT и веб-прокси.

Вариант 2: Добавить значение в реестр Windows

При попытке установить VPN-соединение, если ваш MX находится за NAT, вам нужно добавить значение DWORD «AssumeUDPEncapsulationContextOnSendRule» в реестр Windows. Вот как это сделать:

1] Войдите в систему Windows Machine как «Администратор»

2] Щелкните правой кнопкой мыши «Пуск» и выберите «Выполнить»

3] Введите «regedit» и нажмите «Enter»

4] Найдите запись «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent»

5] Щелкните правой кнопкой мыши и создайте новое значение «DWORD» (32-разрядное).

6] Добавьте RegValue «AssumeUDPEncapsulationContextOnSendRule» и нажмите «Ok», чтобы сохранить изменения.

7] Измените новую запись и измените значение данных с «0» на «2».

8] Перезагрузите компьютер и проверьте соединение

Примечание. Это решение идеально подходит, когда ваш VPN-сервер и компьютерный клиент находятся за устройствами NAT.

Вариант 3. Отключение сетевых служб Xbox Live

Для пользователей Windows 10 антивирус может быть несовместим с ОС, из-за чего он отклоняет соединения IPsec. Служба Windows 10 может обеспечить единовременный доступ к L2TP/IPsec VPN, для решения этой проблемы выполните следующие действия:

1] В поле « Поиск » введите «Услуги».

2] В результатах нажмите «Услуги».

3] Найдите «Xbox Live Networking Services» и отключите его.

Ваше VPN-соединение должно работать, а ошибка VPN 809 должна исчезнуть.

Вариант 4. Проверьте настройки PAP

Выполните следующие действия, чтобы проверить правильность настроек PAP:

1] Нажмите «Пуск» и выберите «Настройки»

2] Выберите «Сеть и Интернет» и выберите «VPN».

3] Теперь вам нужно будет «Добавить VPN», указав имя подключения, имя пользователя и пароль.

4] Теперь на вкладке «Свойства» выберите «Безопасность», затем перейдите к «Расширенные настройки».

5] В разделе «Аутентификация» выберите «Разрешить эти протоколы», а затем отметьте только поле «PAP».

Теперь перезагрузите систему, чтобы подтвердить, если ошибка исчезла.

Вариант 5: отключить сторонние приложения

Иногда сторонние приложения на устройстве могут быть причиной причины ошибки VPN 809. Здесь вам придется индивидуально выяснить, какое приложение вызывает проблему. Это может приводить в бешенство, но как только вы отключите приложение преступника, ошибка должна исчезнуть.

Ошибка VPN 809 — это очень распространенная проблема VPN, с которой время от времени сталкивается каждый пользователь. Перечисленные выше варианты помогут вам решить эту проблему в кратчайшие сроки.

Случается так, что владельцы ПК, стремящиеся создать VPN-подсоединение к интернету, сталкиваются со всевозможными проблемами, среди которых распространённой является ошибка 809. Это приводит человека к замешательству, особенно если он абсолютно не разбирается в причинах возникновения ошибок и существующих путях их устранения.

Факторы, способствующие проявлению проблем

Причин, по которым может возникать ошибка 809 VPN, препятствующая созданию доступа к глобальной сети, насчитать можно несколько. Если правильно выявить такие причины, ликвидировать проблему будет гораздо проще, поскольку существуют рекомендации, позволяющие вносить достаточно просто требуемые изменения в настройки и обеспечивать VPN-подсоединение к сети.

Причины возникновения проблемы

Ошибка 809 возникает тогда, когда кто-то стремится создать сетевой доступ при помощи VPN-соединения, которое относится к типу виртуальных частных сетей.

Брандмауэр, обязательная составляющая операционной системы, блокирует попытки осуществления такого соединения. Кроме брандмауэра может блокировать сетевое соединение любое устройство, подсоединённое к компьютеру и участвующее в обеспечении сетевого доступа. В качестве одного из девайсов, блокирующего доступ к сети, может выступать маршрутизатор, NAT.

Явной причиной возникновения такой проблемы может являться неполная установка ОС или в некоторых случаях уже установленная система, но сопровождающаяся какими-либо неполадками.

Иногда устанавливают программное обеспечение, скачанное из непроверенных источников, вследствие чего при установке вносятся автоматические изменения в системный реестр, провоцирующие возникновение проблем, связанных с доступом к сети.

Разлад в систему может внести вредоносное программное обеспечение, а также вирусы, способные не только повреждать, но и удалять значимые системные файлы, без которых невозможно обеспечить доступ к интернету.

Поиск и искоренение неполадки позволит избегать подобных проблем в дальнейшем.

Пути искоренения ошибок

Выявив вероятную проблему, юзер должен приложить усилия для её устранения. Если самостоятельно устранить неполадки, ознакомившись с инструкциями, не удаётся, следует обратиться за помощью к специалистам, которые без затруднения быстро установят и ликвидируют ошибки.

Как самостоятельно исправить проблему

Поскольку наиболее вероятной причиной проявления ошибки при VPN подключении считаются недостающие параметры в реестре, очень важно в ручном режиме внести все важные изменения.

Первоначально следует найти ветку реестра, в которую должны вноситься важные дополнения.

Чтобы зайти в реестр и ввести в него системные дополнения, следует нажать «Пуск», затем в строку поиска ввести regedit.

Если на ПК установлен Windows XP, владелец техники должен найти HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec. Когда же установлен Windows 7 или Vista, ветка будет выглядеть иначе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent.

Теперь для внесения изменений следует выделить требуемый реестр, кликнув по нему мышкой, далее в меню «Правка» следует выбрать подменю «Создать». Из предлагаемых вариантов необходимо выбрать DWORD.

На экране откроется доступная строка, в которую нужно занести требуемые изменения. В неё пользователь должен ввести AssumeUDPEncapsulationContextOnSendRule, после чего подтвердить внесённые изменения.

После внесения дополнений в системный реестр юзер должен выделить его, используя мышку, и выбрать параметр «Изменить». В появившемся поле можно ввести 0, 1 или 2, в зависимости от обозначенных целей.

Значение «0» чаще всего устанавливается по умолчанию и свидетельствует о том, что при эксплуатации NAT-устройств сетевое подключение не предусмотрено.

Значение «1» разрешает обеспечить подключение к серверу, используя NAT-устройства.

Значение «2» способствует успешной настройке операционной системы в режиме безопасности, обеспечивая подключение ПК к серверу на базе VPN при помощи NAT-девайсов.

Безусловно, чаще всего прибегают именно к введению значения «2». Чтобы все дополнения и изменения вступили в силу, очень важно перезагрузить электронную вычислительную машину.

Когда же проблема с VPN-соединением возникает из-за вирусов, важно обновить антивирусное приложение и запустить полноценное сканирование. Также совсем не помешает почистить операционку, удалив все временные файлы.

Установка обновлений, драйверов могут тоже посодействовать решению проблемы, сопровождающейся надписью «ошибка 809». Если причиной неполадки является программное обеспечение, которое было некорректно инсталлировано или вступившее в конфликт с иным ПО, успешно помогает функция «Восстановление системы», позволяющая откатить систему на несколько суток назад, когда проблем с VPN-соединением не возникало.

И только в отдельных случаях приходится переустанавливать систему, отдавая предпочтение полной загрузке Windows.

Итак, системные ошибки предупреждают, что часть важных дополнений отсутствует или недееспособно. Чтобы вернуть работоспособность всем параметрам и обеспечить доступ к всемирной паутине, следует приложить усилия, проявить повышенное внимание, выполнить последовательно все рекомендуемые действия. Усилия будут потрачены не зря, поскольку контакт компьютера с сервером будет обеспечен.

Доброго времени суток!
Арендовал VPS с Windows Server 2019. Настроил L2TP/IPSec VPN по инструкции для сервера. Попытка подключения по инструкции для устройства привела к ошибке:
В логах написано:

Пользователь SYSTEM установил удаленное подключение VPN-подключение, которое завершилось сбоем. Возвращен код ошибки 809.

Что делал по советам гугла:

• Отключал брандмауэр (советовали открыть ряд портов, но я пошёл по пути наименьшего сопротивления). Знаю, что так делать нельзя. Мне просто надо было убедиться, что проблема не в брандмауэре.
• Отключал антивирус.
• Добавлял запись AssumeUDPEncapsulationContextOnSendRule=2 (DWORD) в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
• Добавлял запись ProhibitIpSec=1 (DWORD) в HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasmanParameters
• Перезагружал устройство (а вдруг, да и гугл говорил после добавления записей в реестр это сделать).

Ничего не помогло, всё та же 809-я ошибка. Прошу вашей помощи. Готов предоставить любые логи.
Заранее спасибо!

Ошибка 809 VPN обычно возникает, когда межсетевой экран между клиентом и сервером блокирует порты, которые использует VPN-туннель. Кроме того, по умолчанию Windows не поддерживает сопоставления безопасности IPsec NAT-T с серверами за устройством NAT.

Устройства NAT имеют способ трансляции сетевого трафика, и из-за этого могут возникать ошибки, когда вы размещаете сервер за устройством NAT и используете среду IPsec NAT-T.

Некоторые из симптомов ошибки VPN 809 включают в себя сообщение об ошибке, которое вы получаете, и если вы используете протокол L2TP, вы не можете подключиться, поэтому появляется сообщение об ошибке: « Не удалось установить сетевое соединение между вашим компьютером и сервером VPN. «.

Когда появляется ошибка, журнал событий также не отображает никаких связанных журналов, потому что трафик не достигнет интерфейса WAN MX.

Чтобы устранить ошибку VPN 809, вот несколько решений, которые вы можете попробовать.

ИСПРАВЛЕНИЕ: ошибка VPN 809

1. Включите порты на вашем брандмауэре / маршрутизаторе
2. Добавить значение в реестр Windows
3. Отключить службы Xbox Live Networking
4. Проверьте настройки PAP

1. Включите порты на вашем брандмауэре / маршрутизаторе

Обычно ошибка 809 VPN проявляется портом PPTP (TCP 1723) или портом L2TP или портом IKEv2 (порт UDP 500 или 4500), заблокированным брандмауэром или маршрутизатором.

Решение состоит в том, чтобы включить порт на брандмауэре или маршрутизаторе. Если это невозможно, разверните VPN-туннель на основе SSTP или OpenVPN на своем VPN-провайдере.

Это позволяет VPN-соединению работать через брандмауэр, NAT и веб-прокси.

• СВЯЗАННО: VPN заблокирован брандмауэром Windows? Вот как это исправить

2. Добавьте значение в реестр Windows

Если при попытке установить VPN-подключение возникает ошибка VPN 809, а MX находится за NAT, решение этой проблемы заключается в добавлении значения DWORD AssumeUDPEncapsulationContextOnSendRule »в реестр Windows.

Это позволяет операционной системе Windows устанавливать ассоциации безопасности, когда сервер VPN и компьютерный клиент находятся за устройствами NAT.

Для Windows 10 сделайте это:

1. Щелкните правой кнопкой мыши «Пуск» и выберите « Выполнить».
   
2. Введите regedit и нажмите Enter
3. Найдите этот путь: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Policy Agent
4. RegValue: AssumeUDPEncapsulationContextOnSendRule
5. Введите DWORD
6. Измените значение данных на 2. После создания ключа перезагрузите компьютер.

Примечание. Некоторые сторонние сетевые приложения могут вызвать ошибку VPN 809, например SmartByte, поэтому ее отключение также может решить проблему и позволить вашему VPN-подключению снова подключиться.

Примечание : если вам нужен инструмент VPN, который работает как шарм, мы рекомендуем вам Cyberghost. Установите сейчас Cyberghost VPN (в настоящее время скидка) и защитите себя. Он защищает ваш компьютер от атак во время просмотра, маскирует ваш IP-адрес и блокирует любой нежелательный доступ.

CyberGhost также выпустил 7-ю версию для Windows с множеством новых функций безопасности, поэтому мы предлагаем вам попробовать ее.

3. Отключите Xbox Live Сетевые сервисы

Иногда ваш антивирус может быть несовместим с Windows 10, что приводит к разрыву соединений IPsec. Служба Windows 10 может заблокировать доступ к L2TP / IPsec VPN, поэтому для решения этой проблемы и предотвращения ошибки 809 VPN сделайте следующее:

1. Введите услуги в поле поиска
2. Нажмите на Услуги из результатов поиска
   
3. Найдите Xbox Live Networking Services и отключите его
   
4. Проверьте, работает ли ваше VPN-соединение, и ошибка 809 исчезает

— СВЯЗАННО: VPN заблокирован на Windows 10? Не паникуйте, вот исправление

4. Проверьте настройки PAP

1. Нажмите Пуск и выберите Настройки
2. Выберите Сеть и Интернет
   
3. Нажмите VPN на левой панели
   
4. Нажмите Добавить VPN- соединение и используйте следующее:
   Для провайдера VPN используйте Windows (встроенный). В поле «Имя подключения» напишите все, что вам нравится, так как это будет отображаться на интерфейсе

   В качестве имени или адреса сервера напишите внешнее имя хоста вашего VPN

   Для типа VPN выберите L2TP / IPsec.

   Для Типа информации для входа выберите Имя пользователя и пароль.

   Для имени пользователя / пароля / Запомнить меня : установите как требуется, поскольку они являются необязательными

5. Нажмите Сохранить
6. Выберите Изменить параметры адаптера.
   
7. Щелкните правой кнопкой мыши на созданном вами соединении и выберите « Свойства».
8. На вкладке «Безопасность» выберите « Дополнительные параметры».
9. Нажмите кнопку « Использовать общий ключ».
10. Введите PSK и нажмите ОК
11. Установить шифрование данных на максимальную прочность
    
12. Под Аутентификацией выберите Разрешить эти протоколы
13. Отметьте только поле PAP
14. Перезагрузите компьютер
15. Отключите службу Xbox Live Networking Services и посмотрите, сохраняется ли ошибка 809 VPN

Удалось ли устранить ошибку VPN 809? Дайте нам знать в комментариях ниже.

СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:

• VPN заблокирован администратором? Вот как это исправить
• Windows 10 KB4103714 исправляет ошибки Bluetooth и VPN
• ИСПРАВЛЕНИЕ: Когда VPN подключается, Интернет отключен

A Virtual Private Network (VPN) is a one-stop solution for Internet safety and privacy needs. When they work, they are great, but when they don’t, they can leave you baffled. It’s quite a common thing for VPN connections to occasionally experience problems. Roughly there are hundreds of different VPN error codes that exist, but only a few appear in the majority of cases. If you use a Windows device and a VPN, then it isn’t uncommon to come across VPN Error 809. You receive an error message stating;

The network connection between your computer and the VPN server could not be established because the remote server is not responding.

This error is normally caused when Windows doesn’t allow you to establish a VPN through your firewall. Also, if you don’t use a firewall but are on a NAT device, this error may pop-up.

Network Address Translation (NAT) is meant for IP address conservation. It permits private IP networks with unregistered IP addresses to connect to the internet. NAT normally operates on a router, connecting two or more networks, and alters the unregistered network into legal addresses. NAT devices have a specific way of translating network traffic, and when you put a server behind a NAT device and use the IPsec NAT-T environment, you may get this error.

Besides, when the error appears, the event log too won’t display any related logs because the traffic won’t reach the MX’s WAN interface.

Fix VPN Error 809 on Windows 11/10

You can opt for following options for troubleshooting VPN Error 809:

1. Enable the ports on your firewall/router
2. Add value to the Windows registry
3. Disable Xbox Live Networking services
4. Check PAP settings
5. Disable third-party apps

The network connection between your computer and the VPN server could not be established because the remote server is not responding

Let’s look at these troubleshooting options in detail.

1] Enable the ports on your firewall/router

An ‘Always On’ VPN Error Code 809 is caused by PPTP port (TCP 1723), or port L2TP or IKEv2 port (UDP port 500 or 4500) being blocked on the VPN server or the firewall. The solution is to enable these ports on the firewall or your router. You can try deploying the SSTP or OpenVPN based VPN tunnel on your VPN provider. This will allow the VPN connection to seamlessly work across the firewall, NAT, and web proxies.

2] Add value to the Windows registry

While trying to establish your VPN connection, if your MX is placed behind a NAT, you will have to add the “AssumeUDPEncapsulationContextOnSendRule” DWORD value to the Windows registry. Here’s how to do it:

1] Login to Windows Machine as ‘Admin’

2] Right-click ‘Start’ and select ‘Run’

3] Type ‘regedit’ and press ‘Enter’

4] Locate the entry:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

5] Right-click and Create a new ‘DWORD’ (32-bit) value.

6] Add RegValue “AssumeUDPEncapsulationContextOnSendRule” and click ‘Ok’ to save changes.

7] Modify the new entry and change Value Data from “0” to “2“.

8] Reboot the computer and test the connection

Note: This solution is perfect when your VPN’s server and the computer client are behind NAT devices.

3] Disable Xbox Live Networking services

For Windows 10 users, the anti-virus can be incompatible with the OS making it reject IPsec connections. A Windows 10 service may lump access to the L2TP/IPsec VPN, to resolve this follow the below steps:

1] In the ‘Search Box’ type ‘Services’.

2] From the results, click on ‘Services’.

3] Locate ‘Xbox Live Networking Services’ and disable it.

Your VPN connection should work, and the VPN Error 809 should disappear.

4] Check PAP settings

Follow these steps to check if your PAP settings are configured correctly:

1] Click ‘Start’ and select ‘Settings’

2] Select ‘Network and Internet’ and pick ‘VPN’

3] Now, you will need to ‘Add A VPN’ by providing a connection name, username, and password.

4] Now from the ‘Properties tab’, select ‘Security’, then got to the ‘Advanced Settings’ option.

5] Under ‘Authentication’, select ‘Allow these protocols’ and then tick only the ‘PAP’ box.

Now restart the system to confirm if the error is gone.

Related:

• VPN Error 720, Error connecting to a VPN Connection
• VPN error 812, Connection prevented because of a policy configured on RAS/VPN server

5] Disable third-party apps

Sometimes, third-party apps on the device can be the reason behind the cause of VPN Error 809. Here you will have to individually find out which app is causing the problem. This can be an infuriating option, but once you disable the culprit app, the error should be gone.

VPN Error 809 is a very common VPN problem which every user will face from time to time. The above-listed options will help you resolve this issue in just no time.

Related read: Common VPN error codes troubleshooting & solutions.

A Virtual Private Network (VPN) is a one-stop solution for Internet safety and privacy needs. When they work, they are great, but when they don’t, they can leave you baffled. It’s quite a common thing for VPN connections to occasionally experience problems. Roughly there are hundreds of different VPN error codes that exist, but only a few appear in the majority of cases. If you use a Windows device and a VPN, then it isn’t uncommon to come across VPN Error 809. You receive an error message stating;

The network connection between your computer and the VPN server could not be established because the remote server is not responding.

This error is normally caused when Windows doesn’t allow you to establish a VPN through your firewall. Also, if you don’t use a firewall but are on a NAT device, this error may pop-up.

Network Address Translation (NAT) is meant for IP address conservation. It permits private IP networks with unregistered IP addresses to connect to the internet. NAT normally operates on a router, connecting two or more networks, and alters the unregistered network into legal addresses. NAT devices have a specific way of translating network traffic, and when you put a server behind a NAT device and use the IPsec NAT-T environment, you may get this error.

Besides, when the error appears, the event log too won’t display any related logs because the traffic won’t reach the MX’s WAN interface.

Fix VPN Error 809 on Windows 11/10

You can opt for following options for troubleshooting VPN Error 809:

1. Enable the ports on your firewall/router
2. Add value to the Windows registry
3. Disable Xbox Live Networking services
4. Check PAP settings
5. Disable third-party apps

The network connection between your computer and the VPN server could not be established because the remote server is not responding

Let’s look at these troubleshooting options in detail.

1] Enable the ports on your firewall/router

An ‘Always On’ VPN Error Code 809 is caused by PPTP port (TCP 1723), or port L2TP or IKEv2 port (UDP port 500 or 4500) being blocked on the VPN server or the firewall. The solution is to enable these ports on the firewall or your router. You can try deploying the SSTP or OpenVPN based VPN tunnel on your VPN provider. This will allow the VPN connection to seamlessly work across the firewall, NAT, and web proxies.

2] Add value to the Windows registry

While trying to establish your VPN connection, if your MX is placed behind a NAT, you will have to add the “AssumeUDPEncapsulationContextOnSendRule” DWORD value to the Windows registry. Here’s how to do it:

1] Login to Windows Machine as ‘Admin’

2] Right-click ‘Start’ and select ‘Run’

3] Type ‘regedit’ and press ‘Enter’

4] Locate the entry:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

5] Right-click and Create a new ‘DWORD’ (32-bit) value.

6] Add RegValue “AssumeUDPEncapsulationContextOnSendRule” and click ‘Ok’ to save changes.

7] Modify the new entry and change Value Data from “0” to “2“.

8] Reboot the computer and test the connection

Note: This solution is perfect when your VPN’s server and the computer client are behind NAT devices.

3] Disable Xbox Live Networking services

For Windows 10 users, the anti-virus can be incompatible with the OS making it reject IPsec connections. A Windows 10 service may lump access to the L2TP/IPsec VPN, to resolve this follow the below steps:

1] In the ‘Search Box’ type ‘Services’.

2] From the results, click on ‘Services’.

3] Locate ‘Xbox Live Networking Services’ and disable it.

Your VPN connection should work, and the VPN Error 809 should disappear.

4] Check PAP settings

Follow these steps to check if your PAP settings are configured correctly:

1] Click ‘Start’ and select ‘Settings’

2] Select ‘Network and Internet’ and pick ‘VPN’

3] Now, you will need to ‘Add A VPN’ by providing a connection name, username, and password.

4] Now from the ‘Properties tab’, select ‘Security’, then got to the ‘Advanced Settings’ option.

5] Under ‘Authentication’, select ‘Allow these protocols’ and then tick only the ‘PAP’ box.

Now restart the system to confirm if the error is gone.

Related:

• VPN Error 720, Error connecting to a VPN Connection
• VPN error 812, Connection prevented because of a policy configured on RAS/VPN server

5] Disable third-party apps

Sometimes, third-party apps on the device can be the reason behind the cause of VPN Error 809. Here you will have to individually find out which app is causing the problem. This can be an infuriating option, but once you disable the culprit app, the error should be gone.

VPN Error 809 is a very common VPN problem which every user will face from time to time. The above-listed options will help you resolve this issue in just no time.

Related read: Common VPN error codes troubleshooting & solutions.

Столкнулись с интересной проблемой у одного из заказчиков после перенастройки VPN сервера Windows Server 2012 с PPTP на L2TP/ IPSec (из за отключения поддержки PPTP VPN в iOS). Изнутри корпоративной сети VPN клиенты без каких-либо проблем подключаются к VPN серверу, а вот внешние Windows клиенты при попытке установить соединение с L2TP VPN сервером, выдают такую ошибку:

The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g. firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

В других версиях Windows о наличии аналогичной проблемы могут свидетельствовать ошибки VPN подключения 800, 794 или 809.

Стоит отметить, что данный VPN сервер находится за NAT, а на маршрутизаторе настроен проброс портов, необходимых для работы L2TP:

• UDP 1701 — Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol(L2TP)
• UDP 500
• UDP 4500 NAT-T – IPSec Network Address Translator Traversal
• Protocol 50 ESP

В правилах Windows Firewall VPN сервера эти порты также открыты. Т.е. используется классическая конфигурация. Для подключения используется встроенный VPN клиент Windows.

Если подключаться к этому же VPN серверу через PPTP, подключение успешно устанавливается.

VPN ошибка 809 для L2TP/IPSec в Windows за NAT

Как оказалось, проблема эта уже известна и описана в статье https://support.microsoft.com/en-us/kb/926179. По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере.

Но есть и обходное решение. Можно исправить этот недостаток, включив поддержку протокола NAT—T, который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. NAT-T включен по-умолчанию почти во всех операционных системах (iOS, Android, Linux), кроме Windows.

Если VPN сервер L2TP/IPsec находится за NAT, то для корректного подключения внешних клиентов через NAT необходимо на стороне Windows сервера и клиента внести изменение в реестр, разрешающее UDP инкапсуляцию пакетов для L2TP и поддержку (NAT-T) для IPsec.

1. Откройте редактор реестра
   regedit.exe
   и перейдите в ветку:
   • Для Windows 10,8.1,7 и Windows Server 2016,2012R2,2008R2 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent
   • Для Windows XP/Windows Server 2003 — HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
2. Создайте DWORD параметр с именем AssumeUDPEncapsulationContextOnSendRule и значением 2;
   

   Примечание. Возможные значения параметра AssumeUDPEncapsulationContextOnSendRule:

   • 0 – (значение по-умолчанию), предполагается, что VPN сервер подключен к интернету без NAT;
   • 1 – VPN сервер находится за NAT;
   • 2 — и VPN сервер и клиент находятся за NAT.
3. Осталось перезагрузить компьютер и убедиться, что VPN туннель успешно создается.

Если и Windows VPN сервер и клиент находятся за NAT, нужно изменить это параметре на обоих системах.

Можно использовать командлет PowerShell для внесения изменений в реестр:

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesPolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2 –Force;

После включения поддержки NAT-T, вы сможете успешно подключаться к VPN серверу с клиента через NAT (в том числе двойной NAT).

В некоторых случаях для корректной работы VPN необходимо открыть дополнительное правило в межсетевом экране для порта TCP 1701 (в некоторых реализациях L2TP этот порт используется совмести с UDP 1701).

NAT-T не корректно работал в ранних редакциях Windows 10, например, 10240, 1511, 1607. Если у вас старая версия, рекомендуем обновить билд Windows 10.

L2TP VPN не работает на некоторых Windows компьютерах в локальной сети

Есть еще один интересный баг. Если в вашей локальной сети несколько Windows компьютеров, вы не сможете установить более одного одновременного подключения к внешнему L2TP/IPSec VPN серверу. Если при наличии активного VPN туннеля с одного клиента, вы попытаетесь подключиться к тому же самому VPN серверу с другого компьютера, появится ошибка с кодом 809 или 789:

Error 789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remove computer.

Что интересно, эта проблема наблюдется только с Windows-устройствами. На устройствах с Linux/MacOS/Android в этой же локальной сети таких проблем нет. Можно без проблем одновременно подключиться к VPN L2TP серверу с нескольких устройств.

По информации на TechNet проблема связана с некорректной реализацией клиента L2TP/IPSec клиента в Windows (не исправляется уже много лет).

Для исправления этого бага нужно изменить два параметра реестра в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters и перезагрузите компьютре:

• AllowL2TPWeakCrypto – изменить на 00000001 (ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES)
• ProhibitIPSec – изменить на 00000000 (включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами)

Для изменения этих параметров реестра достаточно выполнить команды:
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters" /v ProhibitIpSec /t REG_DWORD /d 0 /f

Это включает поддержку нескольких одновременных L2TP/IPSec-подключений в Windows через общий внешний IP адрес (работает на всех версиях, начиная с Windows XP и заканчивая Windows 10).

Виртуальная частная сеть (VPN) — это универсальное решение для обеспечения безопасности и конфиденциальности в Интернете. Когда они работают, они великолепны, но когда они этого не делают, они могут оставить вас в замешательстве. Для VPN-подключений довольно часто возникают проблемы. Примерно существуют сотни различных кодов ошибок VPN, но в большинстве случаев появляются только несколько. Если вы используете устройство Windows и VPN, то весьма часто встречается ошибка VPN 809.

Эта ошибка обычно возникает, когда Windows не позволяет установить VPN через брандмауэр. Кроме того, если вы не используете брандмауэр, но находитесь на устройстве NAT, эта ошибка может появиться.

Трансляция сетевых адресов (NAT) предназначена для сохранения IP-адресов. Это позволяет частным IP-сетям с незарегистрированными IP-адресами подключаться к Интернету. NAT обычно работает на маршрутизаторе, соединяющем две или более сетей, и превращает незарегистрированную сеть в юридические адреса. Устройства NAT имеют особый способ трансляции сетевого трафика, и когда вы помещаете сервер за устройством NAT и используете среду IPsec NAT-T, вы можете получить эту ошибку.

Вы получите сообщение об ошибке с указанием;

Не удалось установить сетевое соединение между вашим компьютером и сервером VPN, поскольку удаленный сервер не отвечает.

Кроме того, когда появляется ошибка, журнал событий также не отображает никаких связанных журналов, потому что трафик не достигнет интерфейса WAN MX.

Вы можете выбрать следующие варианты устранения неполадок VPN Ошибка 809:

1. Включите порты на вашем брандмауэре/маршрутизаторе
2. Добавить значение в реестр Windows
3. Отключить службы Xbox Live Networking
4. Проверьте настройки PAP
5. Отключить сторонние приложения

Давайте рассмотрим эти варианты устранения неполадок подробнее.

Вариант 1. Включите порты на вашем брандмауэре/маршрутизаторе

Код ошибки VPN «Всегда включен» 809 вызван тем, что порт PPTP (TCP 1723) или порт L2TP или порт IKEv2 (порт UDP 500 или 4500) заблокирован на сервере VPN или брандмауэре. Решение состоит в том, чтобы включить эти порты на брандмауэре или маршрутизаторе. Вы можете попробовать развернуть VPN-туннель на основе SSTP или OpenVPN у своего VPN-провайдера. Это позволит VPN-соединению беспрепятственно работать через брандмауэр, NAT и веб-прокси.

Вариант 2: Добавить значение в реестр Windows

При попытке установить VPN-соединение, если ваш MX находится за NAT, вам нужно добавить значение DWORD «AssumeUDPEncapsulationContextOnSendRule» в реестр Windows. Вот как это сделать:

1] Войдите в систему Windows Machine как «Администратор»

2] Щелкните правой кнопкой мыши «Пуск» и выберите «Выполнить»

3] Введите «regedit» и нажмите «Enter»

4] Найдите запись «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent»

5] Щелкните правой кнопкой мыши и создайте новое значение «DWORD» (32-разрядное).

6] Добавьте RegValue «AssumeUDPEncapsulationContextOnSendRule» и нажмите «Ok», чтобы сохранить изменения.

7] Измените новую запись и измените значение данных с «0» на «2».

8] Перезагрузите компьютер и проверьте соединение

Примечание. Это решение идеально подходит, когда ваш VPN-сервер и компьютерный клиент находятся за устройствами NAT.

Вариант 3. Отключение сетевых служб Xbox Live

Для пользователей Windows 10 антивирус может быть несовместим с ОС, из-за чего он отклоняет соединения IPsec. Служба Windows 10 может обеспечить единовременный доступ к L2TP/IPsec VPN, для решения этой проблемы выполните следующие действия:

1] В поле « Поиск » введите «Услуги».

2] В результатах нажмите «Услуги».

3] Найдите «Xbox Live Networking Services» и отключите его.

Ваше VPN-соединение должно работать, а ошибка VPN 809 должна исчезнуть.

Вариант 4. Проверьте настройки PAP

Выполните следующие действия, чтобы проверить правильность настроек PAP:

1] Нажмите «Пуск» и выберите «Настройки»

2] Выберите «Сеть и Интернет» и выберите «VPN».

3] Теперь вам нужно будет «Добавить VPN», указав имя подключения, имя пользователя и пароль.

4] Теперь на вкладке «Свойства» выберите «Безопасность», затем перейдите к «Расширенные настройки».

5] В разделе «Аутентификация» выберите «Разрешить эти протоколы», а затем отметьте только поле «PAP».

Теперь перезагрузите систему, чтобы подтвердить, если ошибка исчезла.

Вариант 5: отключить сторонние приложения

Иногда сторонние приложения на устройстве могут быть причиной причины ошибки VPN 809. Здесь вам придется индивидуально выяснить, какое приложение вызывает проблему. Это может приводить в бешенство, но как только вы отключите приложение преступника, ошибка должна исчезнуть.

Ошибка VPN 809 — это очень распространенная проблема VPN, с которой время от времени сталкивается каждый пользователь. Перечисленные выше варианты помогут вам решить эту проблему в кратчайшие сроки.

Случается так, что владельцы ПК, стремящиеся создать VPN-подсоединение к интернету, сталкиваются со всевозможными проблемами, среди которых распространённой является ошибка 809. Это приводит человека к замешательству, особенно если он абсолютно не разбирается в причинах возникновения ошибок и существующих путях их устранения.

Факторы, способствующие проявлению проблем

Причин, по которым может возникать ошибка 809 VPN, препятствующая созданию доступа к глобальной сети, насчитать можно несколько. Если правильно выявить такие причины, ликвидировать проблему будет гораздо проще, поскольку существуют рекомендации, позволяющие вносить достаточно просто требуемые изменения в настройки и обеспечивать VPN-подсоединение к сети.

Причины возникновения проблемы

Ошибка 809 возникает тогда, когда кто-то стремится создать сетевой доступ при помощи VPN-соединения, которое относится к типу виртуальных частных сетей.

Брандмауэр, обязательная составляющая операционной системы, блокирует попытки осуществления такого соединения. Кроме брандмауэра может блокировать сетевое соединение любое устройство, подсоединённое к компьютеру и участвующее в обеспечении сетевого доступа. В качестве одного из девайсов, блокирующего доступ к сети, может выступать маршрутизатор, NAT.

Явной причиной возникновения такой проблемы может являться неполная установка ОС или в некоторых случаях уже установленная система, но сопровождающаяся какими-либо неполадками.

Иногда устанавливают программное обеспечение, скачанное из непроверенных источников, вследствие чего при установке вносятся автоматические изменения в системный реестр, провоцирующие возникновение проблем, связанных с доступом к сети.

Разлад в систему может внести вредоносное программное обеспечение, а также вирусы, способные не только повреждать, но и удалять значимые системные файлы, без которых невозможно обеспечить доступ к интернету.

Поиск и искоренение неполадки позволит избегать подобных проблем в дальнейшем.

Пути искоренения ошибок

Выявив вероятную проблему, юзер должен приложить усилия для её устранения. Если самостоятельно устранить неполадки, ознакомившись с инструкциями, не удаётся, следует обратиться за помощью к специалистам, которые без затруднения быстро установят и ликвидируют ошибки.

Как самостоятельно исправить проблему

Поскольку наиболее вероятной причиной проявления ошибки при VPN подключении считаются недостающие параметры в реестре, очень важно в ручном режиме внести все важные изменения.

Первоначально следует найти ветку реестра, в которую должны вноситься важные дополнения.

Чтобы зайти в реестр и ввести в него системные дополнения, следует нажать «Пуск», затем в строку поиска ввести regedit.

Если на ПК установлен Windows XP, владелец техники должен найти HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec. Когда же установлен Windows 7 или Vista, ветка будет выглядеть иначе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent.

Теперь для внесения изменений следует выделить требуемый реестр, кликнув по нему мышкой, далее в меню «Правка» следует выбрать подменю «Создать». Из предлагаемых вариантов необходимо выбрать DWORD.

На экране откроется доступная строка, в которую нужно занести требуемые изменения. В неё пользователь должен ввести AssumeUDPEncapsulationContextOnSendRule, после чего подтвердить внесённые изменения.

После внесения дополнений в системный реестр юзер должен выделить его, используя мышку, и выбрать параметр «Изменить». В появившемся поле можно ввести 0, 1 или 2, в зависимости от обозначенных целей.

Значение «0» чаще всего устанавливается по умолчанию и свидетельствует о том, что при эксплуатации NAT-устройств сетевое подключение не предусмотрено.

Значение «1» разрешает обеспечить подключение к серверу, используя NAT-устройства.

Значение «2» способствует успешной настройке операционной системы в режиме безопасности, обеспечивая подключение ПК к серверу на базе VPN при помощи NAT-девайсов.

Безусловно, чаще всего прибегают именно к введению значения «2». Чтобы все дополнения и изменения вступили в силу, очень важно перезагрузить электронную вычислительную машину.

Когда же проблема с VPN-соединением возникает из-за вирусов, важно обновить антивирусное приложение и запустить полноценное сканирование. Также совсем не помешает почистить операционку, удалив все временные файлы.

Установка обновлений, драйверов могут тоже посодействовать решению проблемы, сопровождающейся надписью «ошибка 809». Если причиной неполадки является программное обеспечение, которое было некорректно инсталлировано или вступившее в конфликт с иным ПО, успешно помогает функция «Восстановление системы», позволяющая откатить систему на несколько суток назад, когда проблем с VPN-соединением не возникало.

И только в отдельных случаях приходится переустанавливать систему, отдавая предпочтение полной загрузке Windows.

Итак, системные ошибки предупреждают, что часть важных дополнений отсутствует или недееспособно. Чтобы вернуть работоспособность всем параметрам и обеспечить доступ к всемирной паутине, следует приложить усилия, проявить повышенное внимание, выполнить последовательно все рекомендуемые действия. Усилия будут потрачены не зря, поскольку контакт компьютера с сервером будет обеспечен.