Windows VPN всегда отключается через <3 минуты, только от моей сети


11

Во-первых, эта проблема существует уже почти два года. Пока не возникла ошибка сервера, я почти отказался от ее решения, но теперь надежда возрождается!

Я настроил сервер Windows 2003 в качестве контроллера домена и VPN-сервера в удаленном офисе. Я могу подключиться и работать через VPN с любого клиента Windows, который я пробовал, включая XP, Vista и Windows 7 без проблем, по крайней мере, из пяти разных сетей (корпоративных и домашних, доменных и других). Работает нормально от всех них.

Однако всякий раз, когда я подключаюсь от клиентов в моей домашней сети, соединение прерывается (тихо) через 3 минуты или меньше. Через некоторое время он в конце концов сообщит мне, что соединение разорвано, и попытается повторно набрать / повторно подключить (если я настроил клиент таким образом). Если я подключусь, соединение будет восстановлено и будет работать правильно, но снова тихо упадет, на этот раз после, казалось бы, более короткого периода времени.

Это не прерывистые капли. Это происходит каждый раз, точно так же. Единственная переменная - как долго сохраняется соединение.

Неважно, какой тип трафика я отправляю. Я могу сидеть без дела, посылать непрерывные пинги, RDP, передавать файлы, и все это одновременно - это не имеет значения. Результат всегда один и тот же. Подключился на несколько минут, потом тихая смерть.

Поскольку я сомневаюсь, что кто-то сталкивался с этой конкретной ситуацией, какие шаги я могу предпринять, чтобы устранить неполадки в моем виртуальном VPN?


Дополнительный фон

В течение этого двухлетнего периода я изменил интернет-провайдеров (на обоих концах), добавил новый контроллер домена (моя сеть) и изменил маршрутизаторы (обе сети). Ничто из этого не имело никакого влияния.

Эта проблема воспроизводится с нескольких компьютеров, с разными ОС, но только из моей сети.

Я проверил, что поведение не зависит от клиента, выполнив тестирование на устройстве, отличном от Windows. Я настроил VPN на своем iPhone и подключился через Wi-Fi через свою сеть. Используя приложение под названием Scany, я непрерывно проверял связь с сервером до тех пор, пока через 2 минуты соединение не разорвалось - такое же поведение я наблюдал на клиентах Windows. После этого я отключил Wi-Fi и VPN через AT & Ts 3G и непрерывно пинговал без потери запросов в течение 11 минут. Этот тест адекватно изолировал проблему для моей сети.

Единственным постоянным компонентом в течение двухлетнего периода является мой контроллер домена, который обрабатывает WINS, а также выступает в качестве VPN-сервера для входящих подключений. Но исходящий трафик не должен проходить через мой DC, он идет прямо к брандмауэру / маршрутизатору, который подключен напрямую к моему кабельному модему.

Больше заметок

Был сделан запрос, что я проверяю, что мои маршруты не фанки, когда установлено VPN-соединение. Я посмотрел и не увидел ничего заведомо неправильного, но мой опыт настройки маршрутов весьма ограничен, поэтому я публикую данные.

Диапазон класса C моей локальной сети - 192.168.1.255, диапазон класса C удаленной локальной сети - 192.168.10.255. Я также замаскировал публичный IP-адрес VPN-сервера (74.93.XXX.XXX).

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None

Раз вы уже пытались решить эту проблему раньше, можете ли вы сообщить нам, что вы уже пробовали, чтобы мы не перефразировали вещи, которые до сих пор не работали для вас?
Зайфер

Большая часть того, что я «пробовал», связана с поиском в сети связанных проблем, которые в итоге оказались очень незначительными. Одна проблема, которая может или не может быть актуальной, состоит в том, что у сервера VPN есть некоторые проблемы конфигурации. Например, для связи с ним после подключения VPN я должен использовать его IP-адрес, а не его имя (я обычно редактирую файл hosts на каждом подключающемся клиенте.) Кроме того, я всегда отключаю «Использовать шлюз по умолчанию» при подключении к VPN, потому что его маршрутизация RAS неправильно настроена. Однако эти проблемы не вызвали проблем при подключении из любой другой сети.
конопля

Ответы:


8

Огромное спасибо @Warner и @William за их предложения. В конечном итоге именно ответ Уильяма привел меня к окончательному решению. Для тех, кто приходит посмотреть, вот сделка.

После множества попыток изолировать проблему, я наконец сделал то, что предложил Уильям, и поднял журналы брандмауэра. Не ожидая найти что-нибудь интересное, я удивился, увидев эту строчку:

PPTP ALG отклонил пакет от xxxx до xxxx: 1723

Зная, что PPTP - это то, как настроен этот VPN, я провел поиск ошибки. Оказывается, это видели и другие люди . В частности, люди с моим точным маршрутизатором , D-Link DIR-655.

Решение, оказывается, простое.

В интерфейсе веб-администрирования маршрутизатора перейдите на вкладку «Дополнительно» и нажмите «Параметры брандмауэра» в меню слева. В разделе «КОНФИГУРАЦИЯ УРОВНЯ ШАГА ПРИЛОЖЕНИЯ (ALG)» снимите флажок для PPTP (дополнительно, также снимите флажок IPsec, если ваша VPN использует этот протокол). Нажмите «Сохранить настройки» и скажите маршрутизатору перезагрузиться. Вуаля!

К сожалению, отключение этих параметров ALG означает, что некоторые расширенные функции маршрутизации не будут работать. Например, поддержка PPTP предназначена для одновременной туннелирования нескольких клиентов NAT на один и тот же VPN-сервер. Это, вероятно, не будет работать, если коробка очищена. Однако, если, как и я, ваш VPN на самом деле не работает вообще, когда флажок установлен , вы, вероятно, не возражаете.

Мне все еще неясно, почему я, кажется, вспоминаю эту проблему ранее с совершенно другим маршрутизатором, но я рад, что она все же работает.


У меня была похожая проблема и что вы знаете ... тот же маршрутизатор D-Link. Ваше решение сработало. Спасибо! Интересно, что у меня никогда не было проблем с VPN, пока я не вставил устройство Vonage VDV21-VD между кабельным модемом и маршрутизатором D-Link.
статик

Какие журналы брандмауэра показывают вам это сообщение? Я предполагаю, что не логи брандмауэра на вашем VPN-клиенте или VPN-сервере.
Ян Бойд

@Ian: Нет, брандмауэр - это сам DIR-655. Вот где логи (просматриваются через их веб-интерфейс.)
конопля

1
Это решило проблему и для меня. Просто наперед: при добавлении переадресации портов, требуемой VPN.
красный

2

Предполагается, что есть компонент VPN-трафика, который требуется, но блокируется (например, на брандмауэре) или теряется, и вызывает выпадение. Проверьте журналы брандмауэра, если они у вас есть для отброшенных пакетов. Дважды проверьте правила, чтобы убедиться, что все необходимые порты и протоколы включены. Возможно, вы также захотите провести некоторый непрерывный мониторинг маршрутов на своем конце, чтобы увидеть, не перенаправлен ли трафик после появления VPN-туннеля. Команда route print отображает эту информацию в Windows.


Это отличные предложения, Уильям. Спасибо. Я вернусь с моими результатами.
конопля

Я разместил свои маршруты в качестве правок к вопросу.
конопля

Этот ответ привел меня к окончательному решению, которое я задокументировал отдельно. Спасибо за помощь!
конопля

1

У меня была такая же ошибка с openwrt и luci, я подключался через vpn к моему серверу openvpn на моем маршрутизаторе. Соединение будет установлено, затем он продолжит перезапускать мой 3G модем и потеряет мое соединение, ответ был, брандмауэр (спасибо за указание направления) и отредактируйте соединение: 1194. Здесь у вас есть выбор, откуда исходить соединение vpn, и по умолчанию это было устройство, два других варианта, где lan и wan, так что для моей ситуации это было wan, быстрая смена и перезапуск и прекрасно работает ..


0

Основное устранение неполадок. Ликвидация оборудования. Интернет-соединение напрямую с ПК. Если воспроизводимый, другой компьютер. Замените модем, попробуйте разные интернет-провайдеры (сотовый модем). Продолжайте идти по линии, пока не изолируете, а затем устраните неисправности оборудования, к которому он изолирован.


Спасибо за предложения. Кроме того, вот что я могу добавить: в течение этого двухлетнего периода я изменил интернет-провайдеров (на обоих концах), добавил новый контроллер домена (моя сеть) и изменил маршрутизаторы (обе сети). Ничто из этого не имело никакого влияния. Подключение VPN-сервера напрямую к Интернету не произойдет, даже на несколько минут, так что это не так. Эта проблема воспроизводится с нескольких компьютеров, с разными ОС, но только из моей сети. Тем не менее, это дало мне идею попробовать это из клиента, отличного от Windows, который я сейчас попробую.
конопля

Ваша рабочая сеть уже выходит за рамки, как вы заявили сами, она изолирована от вашей сети. Похоже, это ваше подключение или сетевое оборудование. Подключите ваше домашнее соединение напрямую к известному рабочему ПК через VPN.
Уорнер

Я настроил VPN на своем iPhone и подключился через Wi-Fi через мою сеть. Используя приложение под названием Scany, я непрерывно проверял связь с сервером до тех пор, пока через 2 минуты соединение не разорвалось - такое же поведение я наблюдал на клиентах Windows. После этого я отключил Wi-Fi и VPN по AT & Ts 3G и непрерывно пинговал без потери запросов в течение 7 минут (и считал). Этот тест адекватно изолирует проблему в моей сети. Однако я уже сделал это - поэтому он предлагает мало новой информации, за исключением того, что поведение не зависит от клиента.
конопля

К вашему сведению - этот пинг работал без проблем 11 минут, пока мне не стало скучно и я его убил.
конопля

1
Выключи свой DC. Проблема продолжается? Подключите свою рабочую станцию ​​напрямую к Интернету. Это продолжается? Какое оборудование было устранено путем прямого подключения к Интернету?
Уорнер
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.