La VPN de Windows siempre se desconecta después de <3 minutos, solo desde mi red

11

Primero, este problema existe desde hace casi dos años. Hasta que nació serverfault, dejé de resolverlo, pero ahora, ¡la esperanza renace!

He configurado un servidor Windows 2003 como controlador de dominio y servidor VPN en una oficina remota. Puedo conectarme y trabajar a través de la VPN desde todos los clientes de Windows que he probado, incluidos XP, Vista y Windows 7 sin problemas, desde al menos cinco redes diferentes (corporativas y domésticas, de dominio y no). Funciona bien de todos ellos

Sin embargo, cada vez que me conecto desde clientes en mi red doméstica, la conexión se cae (en silencio) después de 3 minutos o menos. Después de un corto tiempo, eventualmente me dirá que la conexión se ha caído e intentará volver a marcar / volver a conectar (si configuré el cliente de esa manera). Si vuelvo a conectar, la conexión se restablecerá y parecerá funcionar correctamente, pero nuevamente caerá en silencio, esta vez después de un período de tiempo aparentemente más corto.

Estas no son gotas intermitentes. Sucede cada vez, exactamente de la misma manera. La única variable es cuánto tiempo sobrevive la conexión.

No importa qué tipo de tráfico envíe. Puedo quedarme inactivo, enviar pings continuos, RDP, transferir archivos, todo eso a la vez, no hay diferencia. El resultado es siempre el mismo. Conectado por unos minutos, luego muerte silenciosa.

Dado que dudo que alguien haya experimentado esta situación exacta, ¿qué pasos puedo tomar para solucionar mi VPN evanescente?

Antecedentes adicionales

Durante este lapso de dos años, cambié los ISP (en ambos extremos), agregué un nuevo controlador de dominio (mi red) y cambié los enrutadores (ambas redes). Nada de eso tuvo ningún efecto.

El problema es reproducible desde múltiples PC, con diferentes sistemas operativos, pero solo desde mi red.

Verifiqué que el comportamiento es independiente del cliente mediante pruebas en un dispositivo que no es Windows. Configuré la VPN en mi iPhone y me conecté a través de wifi a través de mi red. Usando una aplicación llamada Scany, pellizqué el servidor continuamente hasta que se cortó la conexión después de aproximadamente 2 minutos, el mismo comportamiento que estaba viendo en los clientes de Windows. Después, deshabilité wifi y VPN en AT & Ts 3G y puse continuamente sin solicitudes perdidas durante 11 minutos. Esta prueba aisló adecuadamente el problema en mi red.

El único componente consistente durante el período de dos años es mi controlador de dominio que maneja WINS y también actúa como un servidor VPN para conexiones entrantes. Pero, el tráfico saliente no debe enrutarse a través de mi DC, va directamente al firewall / enrutador, que está conectado directamente a mi módem de cable.

Más notas

Se solicitó que verifique que mis rutas no son originales cuando se establece la conexión VPN. Eché un vistazo y no veo nada obviamente malo, pero mi experiencia con la configuración de la ruta es bastante limitada, así que estoy publicando los datos.

El rango de clase C de mi LAN es 192.168.1.255, el rango de clase C de la LAN remota es 192.168.10.255. También enmascaré la IP pública del servidor VPN (74.93.XXX.XXX).

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None
windows-server-2003  vpn 
cáñamo
fuente
Ya que ha intentado resolver esto antes, ¿puede decirnos lo que ya ha intentado para no volver a contar cosas que no le han funcionado hasta ahora?
Zypher
La mayor parte de lo que "intenté" consistió en buscar en la Red problemas relacionados, que finalmente resultaron muy poco. Un problema que puede o no ser relevante es que el servidor VPN tiene algunos problemas de configuración. Por ejemplo, para comunicarme con él una vez que la VPN está conectada, tengo que usar su IP en lugar de su nombre (normalmente edito el archivo de hosts en cada cliente conectado). Además, siempre apago "Usar puerta de enlace predeterminada" cuando me conecto a la VPN porque su enrutamiento RAS está mal configurado. Sin embargo, estos problemas no han causado problemas al conectarse desde cualquier otra red.
cáñamo

Respuestas:

8

Enormes gracias a @Warner y @William por sus sugerencias. Finalmente, fue la respuesta de William la que me llevó a la resolución final. Para cualquiera que venga a buscar, este es el trato.

Después de un montón de problemas tratando de aislar el problema, finalmente hice lo que William sugirió y abrí los registros de mi firewall. No esperaba encontrar nada interesante, me sorprendió cuando vi esta línea:

PPTP ALG rechazó el paquete de xxxx a xxxx: 1723

Sabiendo que PPTP es cómo está configurada esta VPN, busqué un poco el error. Resulta que otras personas también lo han visto . Específicamente, personas con mi enrutador exacto , el D-Link DIR-655.

Resulta que la solución es simple.

En la interfaz de administración web del enrutador, acceda a la pestaña Avanzado y haga clic en Configuración de firewall en el menú de la izquierda. En la sección titulada "CONFIGURACIÓN DE LA PUERTA DE PASO DE NIVEL DE APLICACIÓN (ALG)", desmarque la casilla para PPTP (opcionalmente, también desmarque IPsec si su VPN usa ese protocolo). Haga clic en "Guardar configuración" y dígale al enrutador que reinicie. Voila!

Desafortunadamente, deshabilitar estas opciones ALG significa que ciertas funciones avanzadas de enrutamiento no funcionarán. Por ejemplo, el soporte PPTP está destinado a permitir que varios clientes NAT'd hagan un túnel al mismo servidor VPN simultáneamente. Eso probablemente no funcionará si la casilla está despejada. Sin embargo, si, como yo, su VPN realmente no funciona cuando la casilla está marcada, probablemente no le importe.

Todavía no estoy claro por qué parece recordar haber tenido este problema anteriormente con un enrutador totalmente diferente, pero estoy feliz de que esté funcionando.

cáñamo
fuente
Tuve un problema similar y qué sabes ... el mismo enrutador D-Link. Tu solución funcionó. ¡Gracias! Curiosamente, nunca tuve un problema con mi VPN hasta que inserté un dispositivo Vonage VDV21-VD entre el módem de cable y mi enrutador D-Link.
staticman
¿Qué registros de firewall le muestran este mensaje? Supongo que no los registros de firewall en su cliente VPN o servidor VPN.
Ian Boyd
@ Ian: No, el firewall es el DIR-655 mismo. Ahí es donde están los registros (visibles a través de su interfaz web)
Cáñamo
1
Esto resolvió el problema para mí también. Solo un aviso: al agregar el reenvío de puertos requerido por VPN.
rojo el
2

Supongo que hay un componente del tráfico VPN que se requiere pero se bloquea (por ejemplo, en un firewall) o se pierde, y provoca la caída. Verifique los registros del firewall si los tiene por paquetes descartados. Verifique las reglas para asegurarse de que todos los puertos y protocolos necesarios estén habilitados. También es posible que desee realizar un monitoreo de ruta continuo en su extremo para ver si el tráfico está mal dirigido después de que aparezca el túnel VPN. El comando "ruta de impresión" muestra esta información en Windows.

Guillermo
fuente
Estas son excelentes sugerencias, William. Gracias. Volveré con mis resultados.
cáñamo
Publiqué mis rutas como ediciones de la pregunta.
cáñamo
Esta respuesta me llevó a la resolución final, que documenté por separado. ¡Gracias por tu ayuda!
cáñamo
1

Estaba teniendo el mismo error con openwrt y luci, me conectaba a través de vpn a mi servidor openvpn en mi enrutador. Se establecería la conexión, luego continuaría reiniciando mi módem 3g y perdiendo mi conexión, la respuesta estaba en el firewall (gracias por señalar la dirección) y editaba la conexión: 1194. Aquí tiene la opción de dónde proviene la conexión vpn y, de manera predeterminada, era el dispositivo, las otras dos opciones eran lan y wan, así que para mi situación era wan, un cambio rápido y reinicio y funciona muy bien.

Hombre feliz
fuente
0

Solución de problemas básicos. Eliminar equipos. Conexión a internet directamente a la PC. Si es reproducible, una PC diferente. Reemplace el módem, pruebe diferentes ISP (módem celular). Siga bajando la línea hasta que esté aislado y luego resuelva el problema del equipo al que está aislado.

Warner
fuente
Gracias por las sugerencias En ese sentido, esto es lo que puedo agregar: durante este lapso de dos años, cambié los ISP (en ambos extremos), agregué un nuevo controlador de dominio (mi red) y cambié los enrutadores (ambas redes). Nada de eso tuvo ningún efecto. Conectar el servidor VPN directamente a Internet no va a suceder, ni siquiera por unos minutos, así que eso está fuera. El problema es reproducible desde múltiples PC, con diferentes sistemas operativos, pero solo desde mi red. Sin embargo, eso me dio la idea de probarlo desde un cliente que no es Windows, lo que probaré ahora.
cáñamo
Su red de trabajo ya está fuera de alcance, como usted mismo dijo, está aislada de su red. Parece que es su conexión o equipo de red. Conecte la conexión de su hogar directamente a una PC que funcione con la VPN.
Warner
Configuré la VPN en mi iPhone y me conecté a través de wifi a través de mi red. Usando una aplicación llamada Scany, pellizqué el servidor continuamente hasta que se cortó la conexión después de aproximadamente 2 minutos, el mismo comportamiento que estaba viendo en los clientes de Windows. Después, deshabilité wifi y VPN en AT & Ts 3G y he estado haciendo ping continuamente sin solicitudes perdidas durante 7 minutos (y contando). Esta prueba aísla adecuadamente el problema en mi red. Sin embargo, ya lo había hecho, por lo que ofrece poca información nueva, excepto que el comportamiento es independiente del cliente.
cáñamo
FYI: ese ping se ejecutó durante 11 minutos sin problemas antes de aburrirme y matarlo.
cáñamo
1
Apaga tu DC. ¿El problema continúa? Conecte su estación de trabajo directamente a Internet. ¿Continúa? ¿Qué equipo se eliminó al conectarse directamente a Internet?
Warner
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.