La VPN di Windows si disconnette sempre dopo <3 minuti, solo dalla mia rete

11

Innanzitutto, questo problema esiste da quasi due anni. Fino alla nascita di serverfault, ho praticamente rinunciato a risolverlo, ma ora la speranza è rinata!

Ho configurato un server Windows 2003 come controller di dominio e server VPN in un ufficio remoto. Sono in grado di connettermi e lavorare sulla VPN da ogni client Windows che ho provato, inclusi XP, Vista e Windows 7 senza problemi, da almeno cinque reti diverse (aziendale e domestica, dominio e non.) Funziona bene da tutti loro.

Tuttavia, ogni volta che mi connetto dai client sulla mia rete domestica, la connessione si interrompe (in silenzio) dopo 3 minuti o meno. Dopo un po ', alla fine mi dirà che la connessione è caduta e tenterà di ricomporre / riconnettere (se ho configurato il client in quel modo.) Se riconnetto, la connessione si ristabilirà e sembrerà funzionare correttamente, ma ancora cadrà silenziosamente, questa volta dopo un periodo di tempo apparentemente più breve.

Queste non sono gocce intermittenti. Succede ogni volta, esattamente allo stesso modo. L'unica variabile è la durata della connessione.

Non importa quale tipo di traffico invio. Posso stare inattivo, inviare ping continui, RDP, trasferire file, tutto in una volta - non fa differenza. Il risultato è sempre lo stesso. Connesso per alcuni minuti, poi morte silenziosa.

Dal momento che dubito che qualcuno abbia riscontrato questa situazione esatta, quali passi posso intraprendere per risolvere la mia VPN evanescente?

Sfondo aggiuntivo

Durante questo periodo di due anni, ho cambiato gli ISP (su entrambe le estremità), ho aggiunto un nuovo controller di dominio (la mia rete) e ho cambiato i router (entrambe le reti). Niente di tutto ciò ha avuto alcun effetto.

Il problema è riproducibile da più PC, con diversi sistemi operativi, ma solo dalla mia rete.

Ho verificato che il comportamento è indipendente dal client testando su un dispositivo non Windows. Ho configurato la VPN sul mio iPhone e mi sono connessa via wifi sulla mia rete. Usando un'app chiamata Scany, ho eseguito il ping continuo del server fino a quando la connessione è caduta dopo circa 2 minuti - stesso comportamento che stavo vedendo sui client Windows. Successivamente, ho disabilitato wifi e VPN su AT & Ts 3G e ho fatto il ping continuo senza richieste perse per 11 minuti. Questo test ha adeguatamente isolato il problema nella mia rete.

L'unico componente coerente nell'arco di due anni è il mio controller di dominio che gestisce WINS e funge anche da server VPN per le connessioni in entrata. Tuttavia, il traffico in uscita non dovrebbe instradare attraverso il mio controller di dominio, va direttamente al firewall / router, che è collegato direttamente al mio modem via cavo.

Altre note

È stata fatta una richiesta per verificare che i miei percorsi non siano funky quando viene stabilita la connessione VPN. Ho dato un'occhiata e ovviamente non vedo nulla di sbagliato, ma la mia esperienza con la configurazione del percorso è piuttosto limitata, quindi sto pubblicando i dati.

L'intervallo di classe C della mia LAN è 192.168.1.255, l'intervallo di classe C della LAN remota è 192.168.10.255. Ho anche mascherato l'IP pubblico del server VPN (74.93.XXX.XXX).

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None
windows-server-2003  vpn 
canapa
fonte
Dato che hai già provato a risolvere questo problema, puoi farci sapere cosa hai già provato in modo da non riproporre le cose che non hanno funzionato finora per te?
Zypher,
Gran parte di ciò che ho "provato" riguardava la ricerca in rete di problemi correlati, che alla fine si sono rivelati molto limitati. Un problema che può o meno essere rilevante è che il server VPN presenta alcuni problemi di configurazione. ad es. Per comunicare con esso una volta che la VPN è connessa, devo usare il suo IP piuttosto che il suo nome (di solito modifico il file hosts su ciascun client di connessione). Inoltre, disattivo sempre "Usa gateway predefinito" quando mi connetto a la VPN perché il suo routing RAS non è configurato correttamente. Tuttavia, questi problemi non hanno causato problemi durante la connessione da qualsiasi altra rete.
canapa,

Risposte:

8

Grazie mille a @Warner e @William per i loro suggerimenti. Alla fine è stata la risposta di William che mi ha portato alla risoluzione finale. Per chi viene a cercare, ecco l'affare.

Dopo un sacco di problemi nel tentativo di isolare il problema, alla fine ho fatto come William ha suggerito e tirato su i miei registri del firewall. Non aspettandomi di trovare qualcosa di interessante, sono rimasto sorpreso quando ho visto questa riga:

PPTP ALG ha rifiutato il pacchetto da xxxx a xxxx: 1723

Sapendo che PPTP è come è configurata questa VPN, ho fatto qualche ricerca sull'errore. Si scopre che anche altre persone l' hanno visto . In particolare, le persone con il mio router esatto , il D-Link DIR-655.

La soluzione, a quanto pare, è semplice.

Nell'interfaccia di amministrazione Web del router, accedi alla scheda Avanzate e fai clic su Impostazioni firewall nel menu a sinistra. Nella sezione "CONFIGURAZIONE GATEWAY LIVELLO APPLICAZIONE (ALG)", deseleziona la casella per PPTP (facoltativamente, deseleziona anche IPsec se la tua VPN utilizza quel protocollo). Fai clic su "Salva impostazioni" e comunica al router di riavviare. Ecco!

Sfortunatamente, disabilitare queste opzioni ALG significa che alcune funzionalità di routing avanzate non funzioneranno. Ad esempio, il supporto PPTP ha lo scopo di consentire a più client NAT di eseguire il tunneling sullo stesso server VPN contemporaneamente. Ciò probabilmente non funzionerà se la casella è deselezionata. Tuttavia, se come me la tua VPN non funziona davvero quando la casella è selezionata, probabilmente non ti dispiace.

Non sono ancora chiaro il motivo per cui mi sembra di ricordare di aver già riscontrato questo problema con un router completamente diverso, ma sono contento che funzioni comunque.

canapa
fonte
Ho avuto un problema simile e cosa sai ... lo stesso router D-Link. La tua soluzione ha funzionato. Grazie! È interessante notare che non ho mai avuto problemi con la mia VPN fino a quando non ho inserito un dispositivo Vonage VDV21-VD tra il modem via cavo e il mio router D-Link.
staticman,
Quali log del firewall ti stanno mostrando questo messaggio? Suppongo che non i registri firewall sul tuo client VPN o server VPN.
Ian Boyd,
@Ian: No, il firewall è il DIR-655 stesso. Ecco dove sono i registri (visualizzabili tramite la loro interfaccia web.)
Canapa,
1
Questo ha risolto il problema anche per me. Solo un avvertimento: quando si aggiunge il port forwarding richiesto dalla VPN.
rosso
2

È probabile che esista un componente del traffico VPN che è necessario, ma viene bloccato (ad esempio in un firewall) o perso e causa l'abbandono. Controlla i log del firewall se li hai per i pacchetti rilasciati. Ricontrolla le regole per assicurarti che tutte le porte e i protocolli necessari siano abilitati. Potresti anche voler eseguire un monitoraggio continuo del percorso da parte tua per vedere se il traffico è indirizzato erroneamente dopo l'arrivo del tunnel VPN. Il comando "route route" mostra queste informazioni su Windows.

William
fonte
Questi sono ottimi suggerimenti, William. Grazie. Tornerò con i miei risultati.
canapa,
Ho pubblicato i miei percorsi come modifiche alla domanda.
canapa,
Questa risposta mi ha portato alla risoluzione finale, che ho documentato separatamente. Grazie per l'aiuto!
canapa,
1

Avevo lo stesso errore con openwrt e luci, mi collegavo via VPN al mio server openvpn sul mio router. La connessione sarebbe stabilita, quindi continuerebbe a riavviare il mio modem 3G e perdere la mia connessione, la risposta era in, firewall (grazie per aver indicato la direzione) e modificare la connessione: 1194. Qui puoi scegliere da dove proviene la connessione VPN e per impostazione predefinita era il dispositivo, le altre due opzioni in cui lan e wan quindi per la mia situazione era debole, una rapida modifica e riavvio e funziona benissimo.

Uomo felice
fonte
0

Risoluzione dei problemi di base. Elimina l'attrezzatura. Connessione Internet direttamente al PC. Se riproducibile, un PC diverso. Sostituisci il modem, prova diversi ISP (modem cellulare). Continuare a scendere lungo la linea fino a quando non è isolato, quindi risolvere i problemi relativi alle apparecchiature a cui è isolato.

Ammonitore
fonte
Grazie per i suggerimenti In questo senso, ecco cosa posso aggiungere: Durante questo arco di due anni, ho cambiato gli ISP (su entrambe le estremità), ho aggiunto un nuovo controller di dominio (la mia rete) e ho cambiato router (entrambe le reti). Niente di tutto ciò ha avuto alcun effetto. La connessione del server VPN direttamente a Internet non accadrà, nemmeno per alcuni minuti, quindi non c'è più. Il problema è riproducibile da più PC, con diversi sistemi operativi, ma solo dalla mia rete. Tuttavia, questo mi ha dato l'idea di provarlo da un client non Windows, che proverò ora.
canapa,
La tua rete di lavoro è già fuori portata, come hai affermato tu stesso, è isolata dalla tua rete. Sembra che sia la tua connessione o attrezzatura di rete. Connetti la tua connessione di casa direttamente a un PC funzionante noto contro la VPN.
Warner,
Ho configurato la VPN sul mio iPhone e mi sono connessa via wifi sulla mia rete. Usando un'app chiamata Scany, ho eseguito il ping continuo del server fino a quando la connessione è caduta dopo circa 2 minuti - lo stesso comportamento che stavo vedendo sui client Windows. Successivamente, ho disabilitato wifi e VPN su AT & Ts 3G e ho fatto il ping continuo senza richieste perse per 7 minuti (e conteggio). Questo test isola adeguatamente il problema nella mia rete. Tuttavia, l'avevo già fatto, quindi offre poche nuove informazioni, tranne per il fatto che il comportamento è indipendente dal cliente.
canapa,
Cordiali saluti - quel ping ha funzionato per 11 minuti senza problemi prima che mi annoiassi e lo uccidessi.
canapa,
1
Spegni la tua DC. Il problema persiste? Connetti la tua workstation direttamente a Internet. Continua? Quali apparecchiature sono state eliminate collegandosi direttamente a Internet?
Warner,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.