A VPN do Windows sempre se desconecta após <3 minutos, apenas da minha rede

11

Primeiro, esse problema existe há quase dois anos. Até o serverfault nascer, eu desisti de resolvê-lo - mas agora a esperança renasce!

Configurei um servidor Windows 2003 como controlador de domínio e servidor VPN em um escritório remoto. Consigo me conectar e trabalhar com a VPN de todos os clientes Windows que tentei, incluindo XP, Vista e Windows 7 sem problemas, de pelo menos cinco redes diferentes (corporativa e doméstica, domínio e não). Funciona bem de todos eles.

No entanto, sempre que eu me conecto de clientes na minha rede doméstica, a conexão cai (silenciosamente) após 3 minutos ou menos. Depois de um tempo, ele indicará que a conexão caiu e tentará rediscar / reconectar (se eu tiver configurado o cliente dessa maneira.) Se eu reconectar, a conexão será restabelecida e parecerá funcionar corretamente, mas novamente cairá silenciosamente, desta vez após um período de tempo aparentemente mais curto.

Estas não são gotas intermitentes. Isso acontece toda vez, exatamente da mesma maneira. A única variável é quanto tempo a conexão sobrevive.

Não importa que tipo de tráfego eu envio. Posso ficar ocioso, enviar pings contínuos, RDP, transferir arquivos, tudo isso de uma vez - não faz diferença. O resultado é sempre o mesmo. Conectado por alguns minutos, depois morte silenciosa.

Como duvido que alguém tenha passado por essa situação exata, que medidas posso tomar para solucionar problemas da minha VPN evanescente?


Contexto adicional

Durante esse período de dois anos, mudei os ISPs (nas duas extremidades), adicionei um novo controlador de domínio (minha rede) e os roteadores (ambas as redes). Nada disso teve nenhum efeito.

O problema é reproduzível em vários PCs, com sistemas operacionais diferentes, mas apenas na minha rede.

Eu verifiquei que o comportamento é independente do cliente testando em um dispositivo não Windows. Configurei a VPN no meu iPhone e me conectei via wifi na minha rede. Usando um aplicativo chamado Scany, executei ping no servidor continuamente até a conexão cair após cerca de 2 minutos - o mesmo comportamento que eu estava vendo nos clientes Windows. Depois, desativei o wifi e o VPN'd na AT & Ts 3G e executei ping continuamente, sem pedidos perdidos por 11 minutos. Este teste isolou adequadamente o problema na minha rede.

O único componente consistente no período de dois anos é o meu controlador de domínio que lida com o WINS e também atua como um servidor VPN para conexões de entrada. Mas, o tráfego de saída não deve rotear através do meu controlador de domínio, ele vai direto para o firewall / roteador, que está conectado diretamente ao meu modem a cabo.

Mais notas

Foi feito um pedido para verificar se minhas rotas não estão descoladas quando a conexão VPN é estabelecida. Dei uma olhada e não vejo nada obviamente errado, mas minha experiência com a configuração de rotas é bastante limitada, por isso estou postando os dados.

O intervalo de classe C da minha LAN é 192.168.1.255, o intervalo de classe C da LAN remota é 192.168.10.255. Também ocultei o IP público do servidor VPN (74.93.XXX.XXX).

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None
cânhamo
fonte
Como você já tentou resolver isso antes, pode nos informar o que já tentou para não repetirmos as coisas que não funcionaram até agora?
Zypher 25/05
A maior parte do que eu "tentei" envolveu pesquisar na 'Net por questões relacionadas, que acabaram aparecendo muito pouco. Um problema que pode ou não ser relevante é que o servidor VPN tem alguns problemas de configuração. Por exemplo, para se comunicar com ele depois que a VPN estiver conectada, preciso usar o IP em vez do nome (normalmente edito o arquivo de hosts em cada cliente conectado). Além disso, sempre desativo "Usar gateway padrão" ao conectar-me ao a VPN porque seu roteamento RAS está configurado incorretamente. No entanto, esses problemas não causaram problemas ao conectar-se a partir de qualquer outra rede.
cânhamo

Respostas:

8

Muito obrigado a @Warner e @William por suas sugestões. Por fim, foi a resposta de William que me levou à resolução final. Para quem vem procurar, aqui está o negócio.

Depois de muita bagunça tentando isolar o problema, finalmente fiz o que William sugeriu e puxei meus logs de firewall. Não esperando encontrar nada de interessante, fiquei surpreso ao ver esta linha:

Pacote PPG ALG rejeitado de xxxx para xxxx: 1723

Sabendo que o PPTP é como esta VPN está configurada, fiz algumas pesquisas sobre o erro. Acontece que outras pessoas também viram . Especificamente, pessoas com meu roteador exato , o D-Link DIR-655.

A solução, ao que parece, é simples.

Na interface de administração da web do roteador, acesse a guia Avançado e clique em Configurações de firewall no menu à esquerda. Na seção "CONFIGURAÇÃO DO ALG (APPLICATION LEVEL GATEWAY"), desmarque a caixa PPTP (opcionalmente, desmarque IPsec se a sua VPN usar esse protocolo.) Clique em "Salvar configurações" e diga ao roteador para reiniciar. Voila!

Infelizmente, desabilitar essas opções ALG significa que certos recursos avançados de roteamento não funcionarão. Por exemplo, o suporte PPTP tem como objetivo permitir que vários clientes NAT enviem um túnel para o mesmo servidor VPN simultaneamente. Isso provavelmente não funcionará se a caixa estiver limpa. No entanto, se como eu, sua VPN realmente não funciona quando a caixa está marcada, você provavelmente não se importa.

Ainda não estou claro por que me lembro de ter esse problema anteriormente com um roteador totalmente diferente, mas estou feliz que ele esteja funcionando.

cânhamo
fonte
Eu tive um problema semelhante e o que você sabe ... o mesmo roteador D-Link. Sua solução funcionou. Obrigado! Curiosamente, nunca tive problemas com minha VPN até inserir um dispositivo Vonage VDV21-VD entre o modem a cabo e meu roteador D-Link.
staticman
Quais logs de firewall estão mostrando essa mensagem? Não logs de firewall no seu cliente VPN, ou servidor VPN, presumo.
22611 Ian Boyd
@ Ian: Não, o firewall é o próprio DIR-655. É aí que os logs são (visível através de sua interface web.)
cânhamo
1
Isso resolveu o problema para mim também. Apenas um alerta: ao adicionar o encaminhamento de porta exigido pela VPN.
vermelho
2

Suponho que há um componente do tráfego da VPN que é necessário, mas está sendo bloqueado (por exemplo, em um firewall) ou perdido e causando a interrupção. Verifique os logs do firewall se você os tiver para pacotes descartados. Verifique as regras para garantir que todas as portas e protocolos necessários estejam ativados. Você também pode fazer um monitoramento de rota contínua para verificar se o tráfego é direcionado incorretamente após a instalação do túnel da VPN. O comando "route print" mostra essas informações no Windows.

William
fonte
Essas são ótimas sugestões, William. Obrigado. Voltarei com meus resultados.
cânhamo
Publiquei minhas rotas como edições na pergunta.
cânhamo
Essa resposta me levou à resolução final, que eu documentei separadamente. Obrigado pela ajuda!
cânhamo
1

Eu estava tendo a mesma falha com o openwrt e luci, eu me conectaria via vpn ao meu servidor openvpn no meu roteador. A conexão seria estabelecida, continuaria reiniciando meu modem 3G e perdendo minha conexão, a resposta estava, firewall (obrigado por apontar a direção) e edite a conexão: 1194. Aqui você tem uma escolha de onde a conexão VPN estava vindo e, por padrão, era dispositivo, as outras duas opções eram LAN e WAN, então, para a minha situação, era WAN, uma rápida mudança e reinicialização e funciona muito bem.

Homem feliz
fonte
0

Solução básica de problemas. Elimine o equipamento. Conexão com a Internet diretamente para o PC. Se reproduzível, um PC diferente. Substitua o modem, tente diferentes ISPs (modem celular). Continue descendo a linha até isolado e solucione o problema do equipamento ao qual está isolado.

Warner
fonte
Obrigado pelas sugestões. Nesse sentido, eis o que posso acrescentar: Durante esse período de dois anos, mudei os ISPs (nas duas extremidades), adicionei um novo controlador de domínio (minha rede) e alterei os roteadores (ambas as redes). Nada disso teve nenhum efeito. Conectar o servidor VPN diretamente à Internet não vai acontecer, nem por alguns minutos, então é isso. O problema é reproduzível em vários PCs, com sistemas operacionais diferentes, mas apenas na minha rede. No entanto, isso me deu a ideia de experimentá-lo a partir de um cliente não-Windows, o que tentarei agora.
cânhamo
Sua rede de trabalho já está fora do escopo, como você mesmo declarou, está isolada na sua rede. Parece que é sua conexão ou equipamento de rede. Conecte sua conexão doméstica diretamente a um PC em funcionamento conhecido contra a VPN.
Warner
Eu configurei a VPN no meu iPhone e conectei via wifi na minha rede. Usando um aplicativo chamado Scany, executei ping no servidor continuamente até a conexão cair após cerca de 2 minutos - o mesmo comportamento que eu estava vendo nos clientes Windows. Posteriormente, desativei o wifi e o VPN'd na AT & Ts 3G e fiz ping continuamente, sem pedidos perdidos por 7 minutos (e contando). Este teste isola adequadamente o problema na minha rede. No entanto, eu já havia feito isso - por isso, oferece poucas informações novas, exceto que o comportamento é independente do cliente.
cânhamo
FYI - esse ping foi executado por 11 minutos sem problemas antes que eu ficasse entediado e o matasse.
cânhamo
1
Desligue o seu controlador de domínio. O problema continua? Conecte sua estação de trabalho diretamente à Internet. Continua? Que equipamento foi eliminado pela conexão direta à Internet?
Warner