Windows VPNは常に3分未満でネットワークからのみ切断されます

11

まず、この問題はほぼ2年間存在しています。serverfaultが生まれるまで、私はそれを解決することをほとんどあきらめました-しかし、今、希望が生まれ変わります!

Windows 2003サーバーをリモートオフィスのドメインコントローラーおよびVPNサーバーとして設定しました。XP、Vista、Windows 7を含むすべてのWindowsクライアントからVPNに接続し、問題なく、少なくとも5つの異なるネットワーク(企業と家庭、ドメイン、非ネットワーク)からVPNに接続して作業できます。それらすべてから。

私は上のクライアントから接続するたびしかし、私のホームネットワーク、接続が3分以下の後に(静かに)落ちます。しばらくすると、最終的に接続が切断され、リダイヤル/再接続が試行されたことが通知されます(クライアントをそのように構成した場合)。再接続すると、接続が再確立され、正しく機能しているように見えますが、再び今回は一見短い期間の後、静かに落ちます。

これらは断続的な低下ではありません。それはまったく同じ方法で毎回起こります。唯一の変数は、接続が存続する時間です。

送信するトラフィックの種類は関係ありません。私はアイドル状態で、連続ping、RDP、ファイル転送を一度に送信できます-違いはありません。結果は常に同じです。数分間接続してから、静かに死にました。

誰もがこの正確な状況を経験しているとは思えないので、迷惑なVPNをトラブルシューティングするためにどのような手順を実行できますか?

追加の背景

この2年間で、ISPを(両端で)変更し、新しいドメインコントローラー(ネットワーク)を追加し、ルーター(両方のネットワーク)を変更しました。それは何の影響もありませんでした。

この問題は、OSが異なる複数のPCから再現可能ですが、私のネットワークからのみです。

Windows以外のデバイスでテストして、動作がクライアントに依存しないことを確認しました。iPhoneでVPNを構成し、ネットワーク経由でwifi経由で接続しました。Scanyと呼ばれるアプリを使用して、約2分後に接続が切断されるまでサーバーに継続的にpingしました。これは、Windowsクライアントで見られたのと同じ動作です。その後、AT&T 3Gを介してwifiとVPNを無効にし、11分間リクエストを失うことなく継続的にpingを実行しました。このテストにより、問題がネットワークに適切に隔離されました。

2年間にわたって一貫した唯一のコンポーネントは、WINSを処理し、受信接続のVPNサーバーとしても機能するドメインコントローラーです。しかし、アウトバウンドトラフィックは私のDCを経由するべきではなく、私のケーブルモデムに直接接続されているファイアウォール/ルーターに直接行きます。

その他のメモ

VPN接続の確立時にルートがファンキーではないことを確認するように要求されました。調べた結果、明らかに問題はありませんが、ルート構成の経験はかなり限られているため、データを投稿しています。

私のLANのクラスC範囲は192.168.1.255、リモートLANのクラスC範囲は192.168.10.255です。VPNサーバーのパブリックIP(74.93.XXX.XXX)もマスクしました。

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None
windows-server-2003  vpn 

ソース
以前にこれを解決しようとしたことがあるので、これまでにうまくいかなかったことを再度ハッシュしないように、すでに試みたことを教えてください。
Zypher
私が「試した」ことのほとんどは、関連する問題をネットで検索することでしたが、最終的にはほとんど見つかりませんでした。関連する場合と関連しない場合がある1つの問題は、VPNサーバーに構成の問題があることです。たとえば、VPNが接続されたら、VPNと通信するために、名前ではなくIPを使用する必要があります(通常、接続している各クライアントのホストファイルを編集します)。 VPNのRASルーティングが正しく構成されていないため。ただし、これらの問題は他のネットワークから接続するときに問題を引き起こしていません。

回答:

8

@Warnerと@Williamの提案に多大なる感謝を表します。最終的に、私が最終的な解決に導いたのはウィリアムの答えでした。見に来る人のために、ここに取り引きがあります。

問題を切り分けようとしていじくりまわした後、Williamが提案してファイアウォールログをプルアップしたので、ようやく私はそれを行いました。何か面白いものを見つけることを期待していなかったので、この行を見て驚いた:

PPTP ALGがxxxxからxxxx:1723へのパケットを拒否しました

PPTPがこのVPNの構成方法であることを知って、エラーを検索しました。結局のところ、他の人々それ見てきました。具体的には、私の正確なルーター、D-Link DIR-655を持っている人。

結局のところ、解決策は簡単です。

ルーターのWeb管理インターフェイスで、[詳細設定]タブにアクセスし、左側のメニューの[ファイアウォール設定]をクリックします。「アプリケーションレベルゲートウェイ(ALG)構成」というラベルの付いたセクションで、PPTPのボックスをオフにします(オプションで、VPNがそのプロトコルを使用している場合はIPsecもオフにします)。出来上がり!

残念ながら、これらのALGオプションを無効にすると、特定の高度なルーティング機能が機能しなくなります。たとえば、PPTPサポートは、複数のNATのクライアントが同じVPNサーバーに同時にトンネルできるようにすることを目的としています。ボックスがクリアされている場合は、おそらく機能しません。ボックスはしかし、もし私のようなあなたのVPNは本当にすべてでは動作しませんされてチェックし、あなたはおそらく気にしません。

以前はまったく別のルーターでこの問題があったことを思い出すように見える理由についてはまだはっきりしていませんが、それでも機能することを嬉しく思います。


ソース
私は同様の問題を抱えていて、あなたは何を知っていますか...同じD-Linkルーター。ソリューションが機能しました。ありがとう!興味深いことに、ケーブルモデムとD-Linkルーターの間にVonage VDV21-VDデバイスを挿入するまで、VPNに問題はありませんでした。
staticman
このメッセージはどのファイアウォールログに表示されていますか?VPNクライアントやVPNサーバーにファイアウォールのログが記録されていないと思います。
Ian Boyd
@イアン:いいえ、ファイアウォールはDIR-655自体です。ログはここにあります(Webインターフェイスを介して表示可能です)
ヘンプ
1
これで問題も解決しました。ただの注意:VPNで必要なポート転送を追加する場合。
2

推測では、VPNトラフィックのコンポーネントが必要ですが、(ファイアウォールなどで)ブロックされているか、失われているため、ドロップアウトが発生しています。ドロップされたパケットがないかファイアウォールログを確認します。ルールを再確認して、必要なすべてのポートとプロトコルが有効になっていることを確認します。VPNトンネルが起動した後にトラフィックが誤って送信されていないかどうかを確認するために、エンドで継続的なルートモニタリングを行うこともできます。「ルート印刷」コマンドは、Windowsでこの情報を表示します。

ウィリアム
ソース
これらは素晴らしい提案です、ウィリアム。ありがとう。結果を返します。
ルートを質問の編集として投稿しました。
この答えにより、私は個別に文書化した最終的な解決策にたどり着きました。ご協力ありがとうございました!
1

私はopenwrtとluciで同じ障害を抱えていました。vpn経由でルーターのopenvpnサーバーに接続します。接続が確立され、その後3gモデムが再起動され、接続が失われます。答えはファイアウォール(方向を指定していただきありがとうございます)にあり、:1194接続を編集します。ここでは、VPN接続がどこから来ているかを選択できます。デフォルトでは、デバイスでした。他の2つのオプションは、lanとwanで、私の状況ではwanでした。すばやく変更して再起動すると、うまくいきます。

幸せな男
ソース
0

基本的なトラブルシューティング。機器を排除します。PCに直接インターネット接続。再現可能な場合は、別のPC。モデムを交換し、別のISP(セルモデム)を試します。隔離されるまでラインを下に進み、隔離されている機器のトラブルシューティングを行います。

ワーナー
ソース
提案をありがとう。この2年間で、ISPを(両端で)変更し、新しいドメインコントローラー(私のネットワーク)を追加し、ルーター(両方のネットワーク)を変更しました。それは何の影響もありませんでした。VPNサーバーをインターネットに直接接続することは、たとえ数分間であっても起こり得ないので、実際にはありません。この問題は、OSが異なる複数のPCから再現可能ですが、私のネットワークからのみです。しかし、それは私にWindows以外のクライアントからそれを試すという考えを与えました、私は今試してみます。
あなたが言っているように、あなたの仕事用ネットワークはすでに範囲外です、あなたのネットワークから隔離されています。それはあなたの接続またはネットワーク機器のように聞こえます。VPNに対して、ホーム接続を既知の正常なPCに直接接続します。
ワーナー、
iPhoneでVPNを構成し、ネットワーク経由でwifi経由で接続しました。Scanyと呼ばれるアプリを使用して、約2分後に接続が切断されるまでサーバーに継続的にpingしました。これは、Windowsクライアントで見られたのと同じ動作です。その後、AT&T 3Gを介してwifiとVPNを無効にし、7分間(およびカウント中)要求を失うことなく継続的にpingを実行しました。このテストは、問題をネットワークに適切に分離します。しかし、私はすでにそれを行っていました。そのため、動作がクライアントに依存しないことを除いて、新しい情報はほとんど提供されていません。
参考までに-そのpingは11分間問題なく実行されてから、退屈して殺しました。
1
DCをシャットダウンします。問題は継続しますか?ワークステーションを直接インターネットに接続します。続けますか?インターネットに直接接続することで削除された機器は何ですか?
ワーナー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.