如何在 Windows Server 2008 R2 上設置 L2TP IPsec VPN 伺服器？

Windows 2008 R2 (SBS) 機器較早設置為執行 PPTP VPN 伺服器。出於安全考慮，我確實想用 L2TP/IPsec VPN 伺服器替換 PPTP。

伺服器位於 NAT 路由器後面，其中創建了 3 個到 Windows 伺服器的轉發規則：

1. 協議 50 (ESP)
2. 埠 UDP 500 (IKE)
3. 埠 UDP 4500（NAT 穿越）

我現在可以看到到達 Windows 伺服器並被 Windows 防火牆過濾阻止的數據包。Windows 事件查看器顯示目標埠 500 和協議 17 (UDP) 的事件 ID 為 5152（Windows 過濾平台阻止了數據包。）的條目。

需要採取哪些額外步驟才能在 Mac OS X 客戶端的 Windows Server 2008 R2 上啟動並執行 L2TP-VPN-Server？

1.檢查L2TP埠是否存在

首先檢查路由和遠端訪問（RRAS）中是否真的配置了L2TP埠。

• 點擊開始，點擊管理工具，然後點擊路由和遠端訪問。
• 擴展您的伺服器，然後擴展埠。
• 如果沒有WAN Miniport (L2TP)…的條目，請通過右鍵點擊ports添加它們。

2.檢查RAS預共享密鑰

確保配置了 RAS 預共享密鑰。檢查 RAS 預共享密鑰的安全性也在路由和遠端訪問 MMC 中完成。

• 通過伺服器的上下文菜單（右鍵點擊您的伺服器名稱）打開伺服器的屬性。
• 然後打開標籤安全。
• 選中“允許 L2TP 連接的自定義​​ IPsec 策略”框。
• 並填寫一個Pre-shared Key。

3.添加Windows防火牆規則

奇怪的是，Windows 2008 R2在路由和 RAS (RRAS) 組中包含用於 L2TP（UDP 1701 兩次）和 GRE（用於 PPTP）的預設**Windows 防火牆規則，認為微軟忘記了（？）為 ESP、IKE 和 NAT 創建預設防火牆規則- T。由於缺少這些 Windows 防火牆規則，您必須自己創建這些規則。

• 點擊開始，點擊管理工具，然後點擊具有高級安全性的 Windows 防火牆。
• 在左窗格中，右鍵點擊*“傳入連接的規則”，然後從菜單中選擇“新建規則”*
• 對於 UDP 500 和 4500，可以選擇基於埠的規則類型，對於 ESP（協議 50），選擇**自定義來創建該規則。

引用自：https://serverfault.com/questions/710454