Se rendre au contenu

Connexion VPN L2TP/ipsec impossible sur Windows

Informatique système
Version : 1,1
Dernière mise à jour : 30/01/2026

Activation de l’encapsulation UDP IPsec derrière un NAT (Windows)

Sur certains réseaux (NAT, CGNAT, box Internet, hotspots, 4G/5G), les connexions VPN L2TP/IPsec peuvent échouer sous Windows.

Ce problème est dû au fait que, par défaut, Windows ne permet pas l’encapsulation UDP IPsec lorsque le client et/ou le serveur sont derrière un NAT.

La solution consiste à ajouter une clé de registre afin d’autoriser explicitement ce comportement.

Symptômes

  • Échec de connexion VPN L2TP/IPsec

  • Message d’erreur du type :

    • « La tentative de connexion L2TP a échoué car la couche de sécurité a rencontré une erreur de traitement »

    • Erreur 789 ou 809

  • Le problème survient uniquement sur certains réseaux (box Internet, réseaux d’entreprise, partage de connexion, etc.)

Cause

Par défaut, Windows désactive l’encapsulation UDP IPsec lorsque les deux extrémités de la connexion VPN sont derrière un NAT.

Cela empêche l’établissement du tunnel IPsec.

Solution

Ajouter la clé de registre AssumeUDPEncapsulationContextOnSendRule avec la valeur 2 afin d’autoriser l’encapsulation UDP dans tous les scénarios NAT.

Procédure

Étape 1 : Ouvrir l’éditeur de registre

  1. Appuyer sur Win + R

  2. Taper regedit

  3. Valider

Étape 2 : Accéder à la clé

Naviguer jusqu’au chemin suivant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Étape 3 : Créer ou modifier la valeur

  1. Clic droit dans le panneau de droite → Nouveau > Valeur DWORD (32 bits)

  2. Nom de la valeur :

    AssumeUDPEncapsulationContextOnSendRule

  3. Double-cliquer sur la valeur et définir :

    • Base : Décimale

    • Données de la valeur : 2

Étape 4 : Redémarrage

Redémarrer obligatoirement le poste pour que la modification soit prise en compte.

Valeurs possibles

ValeurComportement
0NAT-T désactivé (par défaut)
1NAT-T activé uniquement si le serveur VPN est derrière un NAT
2NAT-T activé si le client et/ou le serveur sont derrière un NAT

Systèmes concernés

  • Windows 10

  • Windows 11

  • Windows Server (2016, 2019, 2022)

Informations complémentaires

  • Cette modification concerne uniquement les VPN L2TP/IPsec

  • Aucun impact sur les autres types de VPN (IKEv2, SSTP, OpenVPN, WireGuard)

  • Les ports UDP 500 et 4500 doivent rester autorisés par le pare-feu

Références

  • Documentation Microsoft – IPsec NAT Traversal

  • KB Microsoft : support des VPN L2TP derrière NAT

Cet article vous a-t-il aidé ?

Articles similaires dans la catégorie Informatique système

Lenteur d’accès aux services SMB/HTTP via VPN (MTU)
Informatique système

Besoin d'aide supplémentaire ?

Si cet article n'a pas répondu à toutes vos questions, nos équipes sont à votre disposition.

01 83 64 64 04
Contacter l'assistance technique
Pour un problème matériel ou logiciel
Contacter le service client
Pour vos commandes, factures ou contrats