есть сервер с Debian и почти настроенным VPN L2TP\IPsec.
Конфигурация ниже, делал по этой статье (http://habrahabr.ru/company/FastVPS/blog/205162/):

ipsec.conf
config setup
protostack=netkey
nat_traversal=yes # Enables NAT traversal
virtual_private=%v4:192.168.1.0/24 # with this option you can add your local IP in NAT
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret # Auth with PSK ( preshared key )
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
salifetime=10m
type=tunnel # type of l2tp connection ( tunnel / transport )
left=192.168.178.12 # left - is internet IP of l2tp server
leftprotoport=17/1701
right=%any # right - is IP of client ( if client NATed , that IP of client is IP in NAT )
rightprotoport=17/1701



ipsec.secrets
# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication. See ipsec_pluto(8) manpage, and HTML documentation.

# RSA private key for this host, authenticating it to any other host
# which knows the public part. Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".

# this file is managed with debconf and will contain the automatically created RSA keys
include /var/lib/openswan/ipsec.secrets.inc
192.168.178.12 %any: PSK "mykey1"


xl2tpd.conf
[global]
listen-addr = 192.168.178.12
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets
[lns default]
ip range = 10.0.0.2-10.0.0.200
local ip = 10.0.0.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = no
assign ip = yes
name = VPN-Server




l2tp-secrets
# Secrets for authenticating l2tp tunnels
# us them secret
# * marko blah2
# zeus marko blah
# * * interop
* * * # let all , because we use auth with ppp

ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.37/K3.2.0-4-amd64 (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [OK]
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]

открытые порты на сервере:
nmap -sT -O localhost

Starting Nmap 6.00 ( http://nmap.org ) at 2015-03-23 19:52 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00010s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.00%E=4%D=3/23%OT=22%CT=1%CU=39556%PV=N%DS=0%DC=L%G=Y%TM=5510610
OS:8%P=x86_64-unknown-linux-gnu)SEQ(SP=105%GCD=1%ISR=108%TI=Z%CI=I%II=I%TS=
OS:8)OPS(O1=M400CST11NW5%O2=M400CST11NW5%O3=M400CNNT11NW5%O4=M400CST11NW5%O
OS:5=M400CST11NW5%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%
OS:W6=8000)ECN(R=Y%DF=Y%T=41%W=8018%O=M400CNNSNW5%CC=Y%Q=)T1(R=Y%DF=Y%T=41%
OS:S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=41%W=0%S=A%A=Z%F=R%O=%
OS:RD=0%Q=)T5(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=41%W
OS:=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
OS:U1(R=Y%DF=N%T=41%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%D
OS:FI=N%T=41%CD=S)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.54 seconds



Клиент - Windows 8.1 & Windows 2012 R2:
http://s016.radikal.ru/i335/1503/52/9fd293065591.png
получаю предупреждение что шифрования не будет:
http://s018.radikal.ru/i511/1503/cd/9327d923cfbd.png
Жмякаю подключить, ввожу пользователя и пароль - всё работает!
как только настраиваю IPsec - получаю ошибку 789.
Нашёл видео, где (https://www.youtube.com/watch?v=YCbxTVonZJc) настраивается согласование IPsec, но мне не помогло. Судя по комментариям не всем помогает.
Сервер находится за натом, проброшены порты (без проброса ничего не работало):
http://i074.radikal.ru/1503/69/d97ad7622551.png

пробрасывал GRE, ESP - не помогало. Их вообще нужно пробрасывать?
в чём проблема? Чего не хватает?

ps.: на сервере 2012 R2 нет возможности удалить методы безопасности :
http://s017.radikal.ru/i408/1503/1d/98178a847f6f.png

Спасибо.

на сервере 2012 R2 нет возможности удалить методы безопасности »
Галочка про применение этих методов не стоит - видимо не будут применяться, удалять необязательно.

Порт 1701 в настройках сервера указан, поэтому и пробрасывали. А 500 и 4500 откуда взяли?(there may be a problem with its built-in firewall ("Internet Connection Firewall"). If you encounter this problem, you may have to open ports in ICF (probably UDP ports 500 and 4500))

как только настраиваю IPsec - получаю ошибку 789 »
Как настраивали - не показали.
192.168.178.12 %any: PSK "mykey1" »
В комментариях к статье написано, что в IPsec.secrets должно быть: (или это там только концовка написана?)

: PSK "mykey1"

ipsec showhostkey »
это показывает ключ?

ip range = 10.0.0.2-10.0.0.200
local ip = 10.0.0.1 »

virtual_private=%v4:192.168.1.0/24 »
Мне странно из статьи несовпадающие локальные подсети в файлах. Может ошибка в статье? Или это подсети, которые соединяют.

как только настраиваю IPsec - получаю ошибку 789 »
The error message 789 occurs when IPsec is not configured properly on both ends
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

This error may occur in the following cases:
• The certificate (plus private key) has not been installed correctly
•The remote VPN server is rejecting the IPsec connection because the configuration of the client and the server do not match ("no connection has been authorized").
Verify in MMC that certificates actually have been installed
Check the internal clock of your computer
Select "IPSec Policy Agent" from the list and check if the Startup type is set to "Automatic"

А 500 и 4500 откуда взяли? »
от сюда (http://habrahabr.ru/post/210410/).

как только настраиваю IPsec - получаю ошибку 789 »
Как настраивали - не показали. »
я ссылку на видео (https://www.youtube.com/watch?v=YCbxTVonZJc) привёл.

В комментариях к статье написано, что »
автор ниже дописал, что дополнил статью.

Мне странно из статьи несовпадающие локальные подсети в файлах. Может ошибка в статье? »
если честно, я не знаю. поменял на 10-ую сеть - тоже самое.
ipsec showhostkey »
это показывает ключ? »
ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey "/etc/ipsec.secrets" line 11: unterminated string
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.

похоже ошибка.

ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey "/etc/ipsec.secrets" line 11: unterminated string
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.
похоже ошибка. »
читал где-то, что в конф файлах должны в конце быть пустые строчки - добавил пустую строку - заработало! но только в локальной сети.
ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.
при коннекте из вне - ошибка 809. пошёл читать )

читал где-то, что в конф файлах должны в конце быть пустые строчки - добавил пустую строку - заработало! но только в локальной сети. »

А сам файл так же: 192.168.178.12 %any: PSK "mykey1" только с пустой строчкой?

А сам файл так же: 192.168.178.12 %any: PSK "mykey1" только с пустой строчкой? »
после строки с паролем должна быть пустая строка.
при коннекте из вне - ошибка 809. »
по описаниям в интернете решением является открытие портов на виндовом или внешнем фаерволе, но мне помогла правка реестра (https://support.microsoft.com/en-us/kb/926179/ru) AssumeUDPEncapsulationContextOnSendRule.
На внешнем фаерволе (для клиента) ничего не открывал, не пробрасывал.

осталось решить, почему шлюз по умолчанию не назначается... хотя это точка-точка... нет интернета на машине с VPN IPsec.

забыл указать опции подключения:

options.xl2tpd
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
defaultroute

и ещё я вспомнил, что у нас один бухгалтер работает с Cisco VPN клиентом, и там тоже IPSec и тоже интернета нет. Может так и должно быть в случае IPSec?

но мне помогла правка реестра AssumeUDPEncapsulationContextOnSendRule. »
=2 во многих местах в интернете написано, не только у MS

А подсети у Вас какие 10.*.*.* и 192.168.*.* в разных файлах, когда заработало все?

что у нас один бухгалтер работает с Cisco VPN клиентом, и там тоже IPSec и тоже интернета нет. »


С чем эта бухгалтер связывается? Если с cisco роутером, то там никогда не надо править реестр windows, но бывают у провайдеров локальные подсети, которые конфликтуют с локальной подсетью, из которой роутер раздает адрес или плохое качество связи(у сотовых)

С чем эта бухгалтер связывается? Если с cisco роутером, то там никогда не надо править реестр windows »
да, с циско роутером.