Windows VPN trennt die Verbindung immer nach <3 Minuten, nur von meinem Netzwerk

10

Erstens besteht dieses Problem seit fast zwei Jahren. Bis Serverfault geboren wurde, habe ich es ziemlich aufgegeben, ihn zu lösen - aber jetzt ist die Hoffnung wiedergeboren!

Ich habe einen Windows 2003-Server als Domänencontroller und VPN-Server in einem Remote-Büro eingerichtet. Ich kann von jedem Windows-Client, den ich ausprobiert habe, einschließlich XP, Vista und Windows 7, über mindestens fünf verschiedene Netzwerke (Unternehmen und Privat, Domäne und Nicht-VPN) eine Verbindung zum VPN herstellen und über dieses arbeiten. Es funktioniert einwandfrei von allen.

Wenn ich jedoch eine Verbindung von Clients in meinem Heimnetzwerk herstelle, wird die Verbindung nach 3 Minuten oder weniger (lautlos) unterbrochen. Nach kurzer Zeit wird mir schließlich mitgeteilt, dass die Verbindung unterbrochen wurde, und es wird versucht, die Verbindung erneut zu wählen / erneut herzustellen (wenn ich den Client auf diese Weise konfiguriert habe). Wenn ich die Verbindung erneut herstelle, wird die Verbindung wiederhergestellt und scheint wieder ordnungsgemäß zu funktionieren wird lautlos fallen, diesmal nach einer scheinbar kürzeren Zeitspanne.

Dies sind keine intermittierenden Tropfen. Es passiert jedes Mal genauso. Die einzige Variable ist, wie lange die Verbindung überlebt.

Es spielt keine Rolle, welche Art von Verkehr ich sende. Ich kann untätig sitzen, fortlaufende Pings senden, RDP, Dateien übertragen, all das auf einmal - es macht keinen Unterschied. Das Ergebnis ist immer das gleiche. Für ein paar Minuten verbunden, dann stiller Tod.

Welche Schritte kann ich zur Fehlerbehebung bei meinem abklingenden VPN unternehmen, da ich bezweifle, dass jemand genau diese Situation erlebt hat?


Zusätzlicher Hintergrund

Während dieser zwei Jahre habe ich ISPs (an beiden Enden) geändert, einen neuen Domänencontroller (mein Netzwerk) hinzugefügt und Router (beide Netzwerke) geändert. Nichts davon hatte Auswirkungen.

Das Problem kann von mehreren PCs mit unterschiedlichen Betriebssystemen reproduziert werden, jedoch nur von meinem Netzwerk.

Ich habe durch Testen auf einem Nicht-Windows-Gerät überprüft, ob das Verhalten clientunabhängig ist. Ich habe das VPN auf meinem iPhone konfiguriert und über WLAN über mein Netzwerk verbunden. Mit einer App namens Scany pingte ich den Server kontinuierlich an, bis die Verbindung nach etwa 2 Minuten unterbrochen wurde - dasselbe Verhalten, das ich auf Windows-Clients sah. Danach deaktivierte ich WLAN und VPN über AT & Ts 3G und pingte 11 Minuten lang ohne verlorene Anfragen. Dieser Test hat das Problem in meinem Netzwerk angemessen isoliert.

Die einzige konsistente Komponente über den Zeitraum von zwei Jahren ist mein Domänencontroller, der WINS verwaltet und auch als VPN-Server für eingehende Verbindungen fungiert. Ausgehender Datenverkehr sollte jedoch nicht über meinen DC geleitet werden, sondern direkt an die Firewall / den Router, der bzw. der direkt mit meinem Kabelmodem verbunden ist.

Weitere Hinweise

Es wurde eine Anfrage gestellt, dass ich überprüfe, ob meine Routen nicht funky sind, wenn die VPN-Verbindung hergestellt wird. Ich habe einen Blick darauf geworfen und sehe nichts offensichtlich Falsches, aber meine Erfahrung mit der Routenkonfiguration ist ziemlich begrenzt, daher poste ich die Daten.

Der Klasse-C-Bereich meines LAN ist 192.168.1.255, der Klasse-C-Bereich des Remote-LAN ist 192.168.10.255. Ich habe auch die öffentliche IP des VPN-Servers maskiert (74.93.XXX.XXX).

>route print (VPN Disconnected)
===========================================================================
Interface List
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
===========================================================================
Persistent Routes:
  None


>route print (VPN Connected)
===========================================================================
Interface List
 25...........................VPN Test
 17...00 ff 10 80 57 0c ......Juniper Network Connect Virtual Adapter
 11...00 23 ae e6 bb 49 ......Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit
Ethernet NIC (NDIS 6.20)
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.24     10
    74.93.XXX.XXX  255.255.255.255      192.168.1.1     192.168.1.24     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.24    266
     192.168.1.24  255.255.255.255         On-link      192.168.1.24    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.24    266
     192.168.10.0    255.255.255.0   192.168.10.134   192.168.10.134     11
   192.168.10.134  255.255.255.255         On-link    192.168.10.134    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.24    266
  255.255.255.255  255.255.255.255         On-link    192.168.10.134    266
===========================================================================
Persistent Routes:
  None
Hanf
quelle
Können Sie uns mitteilen, was Sie bereits versucht haben, damit wir keine Dinge aufbereiten, die bisher für Sie nicht funktioniert haben, da Sie bereits versucht haben, dieses Problem zu lösen?
Zypher
Das meiste, was ich "versucht" habe, bestand darin, das Internet nach verwandten Themen zu durchsuchen, die letztendlich nur sehr wenig auftauchten. Ein Problem, das möglicherweise relevant ist oder nicht, besteht darin, dass der VPN-Server einige Konfigurationsprobleme aufweist. zB Um mit ihm zu kommunizieren, sobald das VPN verbunden ist, muss ich seine IP anstelle seines Namens verwenden (normalerweise bearbeite ich die Hosts-Datei auf jedem Verbindungsclient). Außerdem deaktiviere ich beim Herstellen einer Verbindung immer "Standard-Gateway verwenden" das VPN, weil sein RAS-Routing falsch konfiguriert ist. Diese Probleme haben jedoch keine Probleme beim Herstellen einer Verbindung von einem anderen Netzwerk verursacht.
Hanf

Antworten:

7

Vielen Dank an @Warner und @William für ihre Vorschläge. Letztendlich war es Williams Antwort, die mich zur endgültigen Lösung führte. Für alle, die auf der Suche sind, hier ist der Deal.

Nachdem ich eine Menge herumgespielt hatte, um das Problem einzugrenzen, tat ich endlich, was William vorgeschlagen hatte, und zog meine Firewall-Protokolle hoch. Ich hatte nicht erwartet, etwas Interessantes zu finden, und war überrascht, als ich diese Zeile sah:

PPTP ALG lehnte Paket von xxxx nach xxxx ab: 1723

Da ich wusste, dass dieses VPN über PPTP konfiguriert ist, habe ich nach dem Fehler gesucht. Es stellt sich heraus, andere Leute haben es auch gesehen. Insbesondere Leute mit meinem genauen Router , dem D-Link DIR-655.

Es stellt sich heraus, dass die Lösung einfach ist.

Rufen Sie in der Webverwaltungsoberfläche des Routers die Registerkarte Erweitert auf und klicken Sie im linken Menü auf Firewall-Einstellungen. Deaktivieren Sie im Abschnitt "ALG-KONFIGURATION (APPLICATION LEVEL GATEWAY)" das Kontrollkästchen für PPTP (optional deaktivieren Sie auch IPSec, wenn Ihr VPN dieses Protokoll verwendet). Klicken Sie auf "Einstellungen speichern" und weisen Sie den Router an, neu zu starten. Voila!

Leider bedeutet das Deaktivieren dieser ALG-Optionen, dass bestimmte erweiterte Routing-Funktionen nicht funktionieren. Die PPTP-Unterstützung soll beispielsweise mehreren NAT-Clients ermöglichen, gleichzeitig auf denselben VPN-Server zu tunneln. Das wird wahrscheinlich nicht funktionieren, wenn die Box gelöscht wird. Wenn Ihr VPN jedoch wie ich nicht wirklich funktioniert, wenn das Kontrollkästchen aktiviert ist , macht es Ihnen wahrscheinlich nichts aus.

Ich bin mir immer noch nicht sicher, warum ich mich an dieses Problem mit einem völlig anderen Router erinnere, aber ich bin froh, dass es trotzdem funktioniert.

Hanf
quelle
Ich hatte ein ähnliches Problem und was weißt du ... der gleiche D-Link Router. Ihre Lösung hat funktioniert. Vielen Dank! Interessanterweise hatte ich nie ein Problem mit meinem VPN, bis ich ein Vonage VDV21-VD-Gerät zwischen das Kabelmodem und meinen D-Link-Router steckte.
Statiker
Welche Firewall-Protokolle zeigen Ihnen diese Meldung an? Ich nehme an, keine Firewall-Protokolle auf Ihrem VPN-Client oder VPN-Server.
Ian Boyd
@ Ian: Nein, die Firewall ist das DIR-655 selbst. Dort befinden sich die Protokolle (sichtbar über ihre Weboberfläche)
Hanf
1
Dies löste das Problem auch für mich. Nur ein Hinweis: Beim Hinzufügen der für VPN erforderlichen Portweiterleitung.
rot
2

Vermutlich gibt es eine Komponente des VPN-Verkehrs, die erforderlich ist, aber blockiert wird (z. B. an einer Firewall) oder verloren geht und den Ausfall verursacht. Überprüfen Sie die Firewall-Protokolle auf verworfene Pakete. Überprüfen Sie die Regeln, um sicherzustellen, dass alle erforderlichen Ports und Protokolle aktiviert sind. Möglicherweise möchten Sie auch eine kontinuierliche Routenüberwachung durchführen, um festzustellen, ob der Datenverkehr nach dem Hochfahren des VPN-Tunnels fehlgeleitet wird. Der Befehl "Routendruck" zeigt diese Informationen unter Windows an.

Wilhelm
quelle
Das sind großartige Vorschläge, William. Vielen Dank. Ich werde mit meinen Ergebnissen zurückkommen.
Hanf
Ich habe meine Routen als Änderungen an der Frage veröffentlicht.
Hanf
Diese Antwort führte mich zu der endgültigen Entschließung, die ich separat dokumentierte. Danke für deine Hilfe!
Hanf
1

Ich hatte den gleichen Fehler mit openwrt und luci, ich würde über VPN eine Verbindung zu meinem openvpn-Server auf meinem Router herstellen. Die Verbindung wurde hergestellt, dann wurde mein 3G-Modem immer wieder neu gestartet und die Verbindung wurde unterbrochen. Die Antwort war in der Firewall (danke, dass Sie die Richtung angegeben haben) und die Verbindung: 1194 bearbeitet. Hier haben Sie die Wahl, woher die VPN-Verbindung kam und standardmäßig das Gerät, die anderen beiden Optionen waren LAN und WAN. Für meine Situation war es WAN, eine schnelle Änderung und ein Neustart und funktioniert hervorragend.

Glücklicher Mann
quelle
0

Grundlegende Fehlerbehebung. Beseitigen Sie die Ausrüstung. Internetverbindung direkt zum PC. Wenn reproduzierbar, ein anderer PC. Modem ersetzen, verschiedene ISPs (Zellenmodem) ausprobieren. Gehen Sie weiter die Linie entlang, bis Sie isoliert sind, und beheben Sie dann Probleme mit dem Gerät, für das es isoliert ist.

Warner
quelle
Danke für die Vorschläge. In diesem Sinne kann ich Folgendes hinzufügen: Während dieser zwei Jahre habe ich ISPs (an beiden Enden) geändert, einen neuen Domänencontroller (mein Netzwerk) hinzugefügt und Router (beide Netzwerke) geändert. Nichts davon hatte Auswirkungen. Das direkte Verbinden des VPN-Servers mit dem Internet wird auch für einige Minuten nicht stattfinden. Das Problem ist von mehreren PCs mit unterschiedlichen Betriebssystemen reproduzierbar, jedoch nur von meinem Netzwerk. Das brachte mich jedoch auf die Idee, es von einem Nicht-Windows-Client aus zu versuchen, was ich jetzt versuchen werde.
Hanf
Ihr Arbeitsnetzwerk ist bereits außerhalb des Bereichs, wie Sie selbst angegeben haben, es ist von Ihrem Netzwerk isoliert. Es klingt wie Ihre Verbindung oder Netzwerkausrüstung. Verbinden Sie Ihre Heimverbindung direkt mit einem bekannten funktionierenden PC über das VPN.
Warner
Ich habe das VPN auf meinem iPhone konfiguriert und über WLAN eine Verbindung über mein Netzwerk hergestellt. Mit einer App namens Scany pingte ich den Server kontinuierlich an, bis die Verbindung nach etwa 2 Minuten unterbrochen wurde - dasselbe Verhalten, das ich auf Windows-Clients sah. Danach habe ich WLAN und VPN über AT & Ts 3G deaktiviert und habe 7 Minuten lang ununterbrochen ohne verlorene Anfragen gepingt (und gezählt). Dieser Test isoliert das Problem angemessen auf mein Netzwerk. Das hatte ich jedoch bereits getan - daher bietet es nur wenige neue Informationen, außer dass das Verhalten clientunabhängig ist.
Hanf
Zu Ihrer Information - dieser Ping lief 11 Minuten ohne Probleme, bevor mir langweilig wurde und ich ihn tötete.
Hanf
1
Schalten Sie Ihren DC aus. Geht das Problem weiter? Verbinden Sie Ihre Workstation direkt mit dem Internet. Geht es weiter? Welche Geräte wurden durch die direkte Verbindung zum Internet eliminiert?
Warner