Кратко — причина в том, что «идентичные» параметры на сервере и клиенте оказываются не эквивалентными для протоколов аутентификации: RRAS (или NPS/RADIUS) может требовать другой метод (EAP/PEAP с вложенным MS‑CHAPv2, EAP‑TLS с сертификатом, только MS‑CHAP v2 и т. п.), либо политика на сервере (NPS) или групповые политики на клиенте переопределяют то, что вы явно поставили. Поэтому клиент и сервер «думaют» по‑разному даже при видимой одинаковости настроек.
Что проверить и как быстро найти причину
1. Какой провайдер аутентификации использует RRAS
- В консоли RRAS: Правка сервера → Properties → вкладка Security. Там видно: Authentication provider (Windows или RADIUS) и какие методы разрешены (EAP, MS‑CHAP v2, CHAP, PAP).
- Если выбран RADIUS (NPS) — именно политики NPS будут определять разрешённые методы, и они имеют приоритет.
2. Политики NPS / RADIUS
- Откройте NPS → Network Policies → проверьте Constraints → Authentication Methods. Если там, например, стоит «Microsoft: Protected EAP (PEAP)» или «Smart Card or other certificate (TLS)», а клиент пытается MS‑CHAP v2 без PEAP — будет эта ошибка.
- Также проверьте Connection Request Policies и NPS шаблоны, они могут требовать machine authentication или сертификаты.
3. Что смотреть на клиенте
- Свойства VPN‑подключения → Security (Безопасность). Обратите внимание на:
- Тип VPN (PPTP/L2TP/IPsec/SSTP/IKEv2) — если на сервере L2TP с PSK, а клиент — PPTP, не будет соединения.
- Authentication: «Allow these protocols» → нужно включить те протоколы, которые разрешены на сервере (обычно MS‑CHAP v2 или EAP‑PEAP+MS‑CHAP v2).
- Если выбран PEAP, убедитесь, что внутри PEAP выбран MS‑CHAP v2 (или клиент имеет/не имеет сертификат в случае EAP‑TLS).
- Убедитесь, что нет старого профиля или групповой политики, которая принудительно задаёт другой метод.
4. Сертификаты и L2TP/IPsec
- Для L2TP/IPsec: совпадение PSK или корректный сертификат на сервере и клиенте критично. Сообщение о «политике» может появляться, если, например, требуются сертификаты, а клиент их не предоставляет.
5. Логи и отладка
- На сервере: Event Viewer → Applications and Services Logs → Network Policy and Access Services и System (RRAS). Там будет подробно указана причина отказа (какой метод требовался и какой использовался).
- На клиенте: Event Viewer → Applications and Services → Microsoft → Windows → RasClient (и System) — там тоже есть подсказки.
- Для глубокой диагностики — сетевой сниффер (WireShark) или включение трассировки RRAS/NPS.
6. Частые практические причины
- NPS настроен на PEAP (или EAP‑TLS), а клиент настроен на MS‑CHAP v2/ PAP.
- RRAS настроен на MS‑CHAP v2, но NPS (или политика) запрещает его и требует EAP.
- L2TP с PSK, но PSK не совпадает или клиент не выбрал L2TP.
- На клиенте используется CMAK/групповая политика, которая переопределяет параметры и не даёт применить изменения.
- Сертификат сервера отсутствует/не доверен → клиент не может выполнить EAP/TLS или PEAP.
Что сделать прямо сейчас (пошагово)
1. На сервере: откройте RRAS → Security → запишите, какие методы включены и используется ли RADIUS.
2. Если RADIUS — откройте NPS → выбранная Network Policy → проверьте Allowed/Enforced Authentication Methods.
3. На клиенте: VPN → Properties → Security → установите те же методы (если NPS требует PEAP, выберите PEAP+MS‑CHAP v2; если NPS требует сертификат — установите клиентский сертификат).
4. Перезапустите службу RRAS и попробуйте подключиться; затем сразу смотрите события в NPS/RRAS.
5. Если не получается — пришлите скрин/выдержку настроек RRAS (Security) и настроек VPN на клиенте + лог ошибки из Event Viewer с сервера — помогу точнее.
Если хотите, напишите, какие именно значения вы выставили на сервере (Authentication methods, используете ли RADIUS/NPS, тип VPN) и какие значения на клиенте — посмотрю несоответствие и подскажу точные правки.