「昨日まで繋がっていたL2TPが、なぜかWindows 11で繋がらない…」――
そんなときに、原因の切り分けから具体的な直し方まで、順番に試せば必ず前に進めるように整理しました。
本記事は公式情報ベースで、**ポート開放/認証設定/NAT越えレジストリ(AssumeUDPEncapsulation…)/過去の不具合修正(KB5010795)**まで網羅します。
安心して一つずつやっていきましょう!
Contents
まずは最短で直すチェックリスト(5分)
- サーバー名・資格情報を再確認(全角/余計なスペースに注意)
- VPNの種類が「L2TP/IPsec(事前共有キー)」になっているか(後述手順を再設定) Microsoft Learn
- 必要な通信が通っているか:UDP 500/4500/1701 と ESP(IPプロトコル50) を通す(家庭用ルーター/社内FW/端末FWすべて) Microsoft Learn
- NAT越え環境ならAssumeUDPEncapsulationContextOnSendRuleのレジストリ値を確認(後述) Microsoft Learn+1
- Windows Updateを最新に(2022年1月のL2TP不具合はKB5010795で修正済み) Microsoft Support
つまずきポイント早見表
| 症状/キーワード | 代表原因 | まずやること |
|---|---|---|
| エラー809(サーバー未応答) | UDP 500/4500ブロック、NAT周り、FW | 500/4500/1701 + ESP許可、NAT-Tレジストリ確認 Microsoft Learn+1 |
| エラー789/790 | セキュリティ交渉/証明書周り | PSK/証明書の再設定、MS-CHAP v2有効化、サーバー設定見直し Microsoft Learn |
| 急に繋がらない | Windows更新の影響・証明書期限・構成変更 | Windows Update最新化(KB5010795以降)・設定や証明書を再配布 Microsoft Support |
| 認証失敗が続く | MS-CHAP v2無効、ID/PSK不一致 | L2TP/PSKの再設定とMS-CHAP v2チェック Microsoft Learn+1 |
| 社外からのみ失敗 | ルーター/NAT・ISP制限 | 別回線(テザリング)で切り分け、ポート/ESPパススルーの確認 Microsoft Learn |
正しい設定:Windows 11でL2TP/IPsec(PSK)を作る手順
- 設定 →「ネットワークとインターネット」→「VPN」→「VPNの追加」
- VPN プロバイダー:Windows(ビルトイン)
- 接続名/サーバー名:提供情報どおり
- VPNの種類:L2TP/IPsec(事前共有キー) を選択 → 事前共有キー(PSK)を入力
- サインイン情報の種類:ユーザー名とパスワード など
- 作成後、「アダプターのオプションを変更する」→作成したVPNのプロパティ→セキュリティ
- VPNの種類:L2TP/IPsec
- データの暗号化:サーバーが拒否したら切断
- 認証:Microsoft CHAP v2(MS‑CHAP v2) を有効に
- 詳細設定 → 事前共有キーを確認/再入力
(PSK設定やMS‑CHAP v2についてはMicrosoftの手順がベースです) Microsoft Learn+1
図解イメージ(言語化):設定画面で「VPNを追加」→VPNの種類プルダウンからL2TP/IPsec(PSK)を選ぶ→「詳細設定」でPSKを入れる→「セキュリティ」タブでMS‑CHAP v2にチェック。
通すべき通信:ポートとプロトコル
L2TP/IPsecは以下が必須です(ルーター/ファイアウォール/端末FWすべてで許可)。
- UDP 500(ISAKMP/IKE)
- UDP 4500(NAT-T)
- UDP 1701(L2TP)
- ESP(IPプロトコル 50)
Microsoftのネットワーク要件にも明記されています。 Microsoft Learn
※社内FWや一部ISP/公共Wi‑Fiでは、ESPやUDP 4500が塞がれている場合があります。まずは**モバイル回線(テザリング)**で試し、回線依存かを切り分けるのが近道です。
NAT越えで失敗しがち:レジストリ(AssumeUDPEncapsulation…)
NAT配下でL2TP/IPsecを使う場合、クライアント/サーバーの配置に応じて、Windows側で下記レジストリを設定します。
- キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
値名:AssumeUDPEncapsulationContextOnSendRule(DWORD) - 値の意味:
0 = サーバーはNATなし(既定)
1 = サーバーがNAT背後
2 = クライアントとサーバーの両方がNAT背後
スタンドアロンPCの場合は2でうまく行くケースが多いです(再起動が必要)。詳細はMicrosoftのNAT‑T解説にあります。 Microsoft Learn+1
それでもダメなとき:ドライバー/スタックを入れ直す
- デバイス マネージャー →「ネットワーク アダプター」→
WAN Miniport(L2TP/IP/PPTP) をアンインストール→「ハードウェア変更のスキャン」または再起動で自動再検出。
(Microsoft Q&Aでも一般的な切り分けとして紹介) Microsoft Learn
過去の既知問題:2022年1月のL2TP障害は更新で解消済み
2022年1月のWindows更新(KB5009566/KB5009543)適用後にL2TPが壊れる不具合がありましたが、Windows 11は KB5010795(2022/01/17)で修正済み。現在は最新のWindows Update適用が推奨です。 Microsoft Support
IKEv2 と L2TP、どっちを選ぶ?(比較表)
| 観点 | IKEv2 | L2TP/IPsec |
|---|---|---|
| 安定性/再接続 | 強い(移動/切替に強い、MOBIKE) | 標準的 |
| NAT越え | UDP 500/4500。FW設定で安定 | UDP 500/4500/1701 + ESPが必要 |
| 今後の位置付け | 推奨寄り(Windowsで広くサポート) | Windows Serverで将来的に非推奨方向 |
| 構成の難易度 | やや高め(証明書/EAP設計次第) | PSKなら比較的シンプル |
- WindowsのVPNプロトコル種別解説はMS公式にまとまっています。 Microsoft Learn
- Windows ServerではPPTP/L2TPの非推奨化方針がアナウンスされています(将来に向けてIKEv2/SSTPへ移行推奨)。 TECHCOMMUNITY.MICROSOFT.COMBleepingComputer
トラブル別の具体策(エラーコードで当てる)
- エラー809=「サーバーが応答しない」:
UDP 500/4500/1701 と ESP を開放、ルーターのIPsecパススルー、NAT‑Tレジストリ(上記)を確認。 Microsoft Learn - エラー789/790=「セキュリティ交渉/証明書エラー」:
PSK/証明書/暗号スイートを再点検、MS‑CHAP v2やデータ暗号化ポリシーを見直す。 Microsoft Learn
よくある質問(FAQ)
L2TP VPNの接続方法は?
上の「正しい設定」手順どおり、L2TP/IPsec(事前共有キー)を選び、PSKとMS‑CHAP v2を設定します(必要に応じて証明書方式)。 Microsoft Learn+1
Windows 11でVPNに接続する手順をもう一度知りたい
設定 → ネットワークとインターネット → VPN → 追加。作成後、プロパティ → セキュリティでL2TPと認証方式を確認します(Intune等のMDMから一括配布も可能)。 Microsoft Learn
VPNが繋がらない主な理由は?
ポート/ESPブロック、NAT周り、認証/証明書不整合、Windows更新未適用が代表例です。
まずはUDP500/4500/1701とESP、NAT‑Tレジストリ、MS‑CHAP v2、Windows Updateを確認しましょう。 Microsoft Learn+2Microsoft Learn+2Microsoft Support
IKEv2 と L2TPはどっちがおすすめ?
今後の運用を考えるとIKEv2(またはSSTP)推奨。L2TPは既存資産との互換やPSKの手軽さが利点ですが、Windows Serverでは非推奨方向が示されています。 TECHCOMMUNITY.MICROSOFT.COM
接続確認のやり方は?
接続後に社内ポータルへアクセス、もしくはIP確認サイトでグローバルIPの変化をチェック。
名前解決経路が変わるため、DNSの指定(社内DNS)も合わせて確認すると確実です。
(一般的な確認手順/WindowsのVPN構成ガイド参照) Microsoft Learn
まとめ(要点とコツ)
- ポート/ESPの解放(UDP 500/4500/1701、ESP/50)が最優先。 Microsoft Learn
- NAT配下では**AssumeUDPEncapsulation…(0/1/2)**を適切に設定。 Microsoft Learn+1
- PSKとMS‑CHAP v2の組合せを再点検。 Microsoft Learn+1
- エラー809/789は「通信経路」と「交渉/認証」を分けて対処。 Microsoft Learn+1
- 2022年の不具合はKB5010795で解消。まずは最新Update適用。 Microsoft Support
ひとことアドバイス:直し方に迷ったら、
①別回線(テザリング)→ ②ポート/ESP → ③NAT‑Tレジストリ → ④PSK/認証 → ⑤更新/ドライバー の順で、外→内へ切り分けると早いです。
参考リンク(公式中心)
- Microsoft:L2TP/IPsec で必要なポート/プロトコル(UDP500/4500/1701、ESP)
Microsoft Learn - Microsoft:NAT‑T環境でのL2TP/IPsec構成とレジストリ(AssumeUDPEncapsulationContextOnSendRule)
Microsoft Learn+1 - Microsoft:エラーコード一覧(VPN/ダイヤルアップ)(789/790 ほか)
Microsoft Learn - Microsoft:Always On VPN/エラー809の原因(UDP500/4500ブロック)
Microsoft Learn - Microsoft:Windows 11 OOB更新 KB5010795(VPN修正)
Microsoft Support - Microsoft:VPNの種類と認証方式(IKEv2/L2TP ほか、EAP/パスワードの考え方)
