none
Výpadky VPN

    Dotaz

  • Zdravím vespolek,

    máme dlouhodobě potíže s VPN. Nevím, kdy to začalo, v logu jsem nenašel nic. Server se prostě jednou za 4 - 7 dní rozhodne, že nebude obsluhovat požadavky na VPN spojení (od uživatelských PC). Pokud server restartuji, tak je vše zase v pořádku. Pokud restartuji jenom RRAS službu, tak to nezabere. Přitom porty pro VPN jsou stále otevřené. Zkoušel jsem i odinstalovat další SW, jako třeba antivir atp. Teď je server úplně čistý, běží na něm jenom RRAS a SQL server 2012, ale k problémům dochází nadále.

    Prostředí:

    Server 2012 R2, RRAS ( PPTP a IKEv2 s NATem)

    Server má 2 LAN, první je do internetu, druhá je do vnitřní sítě.

    Na co bych se mohl podívat, případně mátě někdo podobnou zkušenost?

    úterý 7. července 2015 11:09

Odpovědi

  • Tak po dalších několika dnech sledování jsem objevil souvislost, kterou se mi dokonce podařilo opakovaně navodit:

    Pokud v MMC konzoli RRAS otevřu konfiguraci NAT a kliknu na OK (znovu zapíšu nezměněné hodnoty), tak se server chová naprosto v pořádku - začne z vnějšího interface odpovídat na ping a výpadky přestaly. To je strašná duchařina, ale jsem rád aspoň za to. Škoda že nemám racionální vysvětlení nebo aspoň záznam v logu, který by mě k tomuto také dovedl.

    • Označen jako odpověď Jiri Simek úterý 11. srpna 2015 11:11
    úterý 11. srpna 2015 11:10

Všechny reakce

  • (docasne) vyrazeni Win Firewallu nepomuze?

    MP

    úterý 7. července 2015 13:44
    Vlastník
  • To už jsem taky zkoušel. Bohužel i při vypnutém firewallu k problémům dochází nadále.
    středa 8. července 2015 9:12
  • Tak tentokrát to trvalo cca 9 dní, než se problém objevil znovu. Opět v logu nic relevantního, všechny rozhraní funkční, volba "unreachibility reason" nebyla aktivní. Zkoušel jsem postupně restartovat všechny relevantní služby "Remote Access, Routing" atd. Když jsem restartoval službu firewall, tak se odporoučela komunikace přes vnější LAN. Po spuštění diagnostiky na zmíněné LAN byla objevena a opravena nedostupnost výchozí brány. Následně vše funguje jak má (včetně VPN přístupu).

    The Network Diagnostics Framework has completed the diagnosis phase of operation. The following repair option was offered: 
    
    Helper Class Name: AddressAcquisition
    
    Root Cause: The default gateway is not available
    The default gateway is a device that connects a local network or computer to the Internet. A broadband modem or router is usually the default gateway. 
    
    Root Cause Guid: {271ffa7d-fd14-4cd5-8c8f-974956ed2d92} 
    
    Repair option: Investigate router or broadband modem issues
    If you're connected to a hotspot or domain network, contact the network administrator. Otherwise:
        1.  Unplug or turn off the device.
        2.  After all the lights on the device are off, wait at least 10 seconds.
        3.  Turn the device on or plug it back into the power outlet.
    To restart a router or modem that has a built-in battery, press and quickly release the Reset button. 
    
    RepairGuid: {9513cc1c-4a26-4cb8-bf89-0a82129bd105} 
    
    Seconds required for repair: 63 
    
    Security context required for repair: 0
    
    Interface: DMZ
    Jinak mě ještě napadlo, že nepoužíváme IPv6, takže i na serveru je IPv6 vypnuté. Mohlo by to mít vliv na takové výpadky?

    • Upravený Jiri Simek středa 15. července 2015 9:21
    středa 15. července 2015 9:20
  • 1. Normalni je IPv6 nevypinat. Microsoft nepodporuje vypinani IPv6. To se pise hned na zacatku clanku

    https://support.microsoft.com/en-us/kb/929852

    2. Muze to byt i nasledek nejakeho utoku (DOS)

    M.


    středa 15. července 2015 19:07
    Vlastník
  • Tipuji, že DOS útok to není, to už by mi kolega od firewallu hlásil. Navíc vyhrazené porty jsou většinou volné.

    Děkuji za tip ohledně IPv6. Zapnul jsem IPv6 na všech LAN a uvidíme, jestli to bude mít nějaký vliv. Poznáme to za 1 - 2 týdny.

    čtvrtek 16. července 2015 14:25
  • Tak VPN dnes v noci vypadl dokonce dvakrát. Pokaždé jsem pomocí nástroje Diagnostika (pravé tlačítko myši nad wan adapterem / Diagnostika) zjistil, že výchozí brána je nedostupná. Automatická oprava problém vyřešila.

    Ještě doplním, že RRAS je konfigurovaný s NAT a poskytuje PPTP a IKEv2.


    Teď už nevím, co dál zkoušet. IPv6 je povolené, v logu nic nenacházím. Navíc ani neodpovídá ping z venku na WAN, takže ani nezjistím, kdy server přestal odpovídat na příchozí požadavky.
    • Upravený Jiri Simek úterý 21. července 2015 12:45
    úterý 21. července 2015 12:44
  • To je samo o sobe divne - VPN je spojeni point to point a vychozi branu IMHO nema

    MP

    úterý 21. července 2015 13:22
    Vlastník
  • Problemy jsou od sameho zacatku od instalace a pocatecni konfigurace, nebo jste mezitim jeste nedo dodelavali (instalace, konfigurace,...)?

    M

    středa 22. července 2015 17:35
    Vlastník
  • Problémy jsou od začátku. Původně to byl server 2008 R2, kde v podobných intervalech docházelo ke zpomalování spojení VPN klientů. Následně jsem udělal in-place upgrade na server 2012 R2, kde se objevují výše popsané potíže. Vedle toho jsem udělal čistou instalaci pokusného serveru 2012 R2, kde se vyskytují stejné problémy, ale v delších intervalech. Pravděpodobně proto, že se tam nepřipojují běžní uživatelé.
    čtvrtek 6. srpna 2015 11:14
  • Tak po dalších několika dnech sledování jsem objevil souvislost, kterou se mi dokonce podařilo opakovaně navodit:

    Pokud v MMC konzoli RRAS otevřu konfiguraci NAT a kliknu na OK (znovu zapíšu nezměněné hodnoty), tak se server chová naprosto v pořádku - začne z vnějšího interface odpovídat na ping a výpadky přestaly. To je strašná duchařina, ale jsem rád aspoň za to. Škoda že nemám racionální vysvětlení nebo aspoň záznam v logu, který by mě k tomuto také dovedl.

    • Označen jako odpověď Jiri Simek úterý 11. srpna 2015 11:11
    úterý 11. srpna 2015 11:10