none
VPN сеть-сеть RRAS 20111 RRS feed

  • Общие обсуждения

  • Доброго времени суток!

    Имеет место такая проблема. Создал VPN -подключение сеть-сеть:

    на обоих концах туннеля MS ISA 2006 Standard Edition (без SP2, стоит на Win2003 EE 32bit SP1), протокол PPTP, внутр. сеть офиса [192.168.0.0-192.168.0.240,192.168.0.255], внутр. сеть филиала [192.168.2.0-192.168.2.240,192.168.2.255]. Учётки создал, называются также как и удалённые сети, удалённый доступ для них разрешён. Active Directory ни там, ни там нет, DHCP-серверов тоже. Адресация впн-клиентов из статического пула: в офисе выделены [192.168.0.241-192.168.0.254], в филиале -  [192.168.2.241-192.168.2.254]. Они соответсвенно удалены из определения внутренних сетей.

    При попытке подлючения регистрируется ошибка в Системе:

    Источник: RemoteAccess

    Код: 20111

    Подключение по требованию к удаленному интерфейсу "el-branch" через порт "VPN3-1" успешно инициировано, но не закончено, из-за ошибки: Указанное назначение недостижимо.

    Других ошибок нет, вроде бы. Искал долго - ничего не нашёл - проблема есть - решения -нет. И не понятно ничего: подключение по интересующему протоколу проверял средствами исы - нормально, аудит аутентификации включал - нормально всё, свойства маршрутизации смотрел - правильно всё, но удалённая сеть через интерфейст el-branch недостижима и всё. Клиенты впн подключаются к серверам нормально, а вот сеть-сеть не устанавливается.

    В статических маршрутах и таблице маршрутизации маршруты прописаны так:

     192.168.2.0    255.255.255.0          0.0.0.0         ffffffff      1

     Ну адрес шлюза не прописан для интерфейсов по требованию, а вот почему имя интерфеса имеет такой странный вид...

    лог RRAS при попытке подключения

    828] 15:00:37: Error adding route, Stack bit == 0
    [828] 15:00:37: ProcessDefaultRouteChanges: Not default route 79.120.120.198/32
    [1832] 15:11:09: InterfaceReachable: el-branch is now reachable
    [828] 15:11:09: RestoreStaticRoutes: restoring for el-branch

    [828] 15:11:09: RestoreStaticRoutes: Successfully set routes for el-branch
    [828] 15:11:10: Route addition succeeded for
    [828] 15:11:10: 192.168.2.0/255.255.255.0 Proto: 10006 Metric 1
    [828] 15:11:10: Via 0.0.0.0/0xffffffff Type 1 Context 0x7
    [828] 15:11:10: ProcessDefaultRouteChanges: Not default route 192.168.2.0/24
    [332] 15:16:15: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:16:15: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:16:15: AccessIpStats: Signalling worker to enable forwarding
    [3772] 15:16:44: InterfaceNotReachable: el-branch is not reachable for reason 1
    [828] 15:16:45: ChangeRouteWithForwarder: Deleting all routes to 192.168.2.0/255.255.255.0
    [332] 15:18:00: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:18:00: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:18:00: AccessIpStats: Signalling worker to enable forwarding
    [828] 15:18:46: Error adding route, Stack bit == 0
    [828] 15:18:46: ProcessDefaultRouteChanges: Not default route 87.245.188.90/32
    [332] 15:19:44: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:19:44: AccessIpStats: Signalling worker to enable forwarding
    [332] 15:19:44: AccessIpStats: Signalling worker to enable forwarding
    [4048] 15:32:02: WorkerThread: RasAdv Timer event received
    [828] 15:39:42: Error adding route, Stack bit == 0
    [828] 15:39:42: ProcessDefaultRouteChanges: Not default route 87.245.188.90/32
    [3740] 15:40:45: InterfaceNotReachable: el-branch is not reachable for reason 1

     

    В общем, истории месяца три - много чего делал (перенастраивал впн-сеть-сеть, проверял учётные данные и т. д.) - ничего не помогло.
    Если кто сталкивался, подскажите, как же быть, как быть?

    Спасибо. 

    8 сентября 2009 г. 13:05

Все ответы

  • Покажите IP-конфигурацию и таблицу маршрутов.

    А у Вас GRE проходит? Нет ли на одном из узлов двух шлюзов в сеть Интернет?

    8 сентября 2009 г. 13:57
    Отвечающий
  • офис ISA

    WAN - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       IP-адрес  . . . . . . . . . . . . : 82.xxx.xxx.210
       Маска подсети . . . . . . . . . . : 255.255.255.248
       Основной шлюз . . . . . . . . . . : 82.xxx.xxx.209

    LAN - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       IP-адрес  . . . . . . . . . . . . : 192.168.0.3
       Маска подсети . . . . . . . . . . : 255.255.255.0

    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0     82.xxx.xxx.209     82.xxx.xxx.210     20
         82.138.2.208  255.255.255.248     82.xxx.xxx.210     82.xxx.xxx.210     20
         82.138.2.210  255.255.255.255        127.0.0.1        127.0.0.1     20
       82.255.255.255  255.255.255.255     82.xxx.xxx.210     82.xxx.xxx.210     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          192.168.0.0    255.255.255.0      192.168.0.3      192.168.0.3     10
          192.168.0.3  255.255.255.255        127.0.0.1        127.0.0.1     10
        192.168.0.255  255.255.255.255      192.168.0.3      192.168.0.3     10
          192.168.1.0    255.255.255.0          0.0.0.0         ffffffff      1
          192.168.2.0    255.255.255.0          0.0.0.0         ffffffff      1
            224.0.0.0        240.0.0.0     82.xxx.xxx.210     82.xxx.xxx.210     20
            224.0.0.0        240.0.0.0      192.168.0.3      192.168.0.3     10
      255.255.255.255  255.255.255.255     82.xxx.xxx.210     82.xxx.xxx.210      1
      255.255.255.255  255.255.255.255      192.168.0.3      192.168.0.3      1
    Основной шлюз:        82.xxx.xxx.209
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    филиал ISA

    WAN - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       IP-адрес  . . . . . . . . . . . . : 87.xxx.xxx.94
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IP-адрес  . . . . . . . . . . . . : 87.xxx.xxx.93
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IP-адрес  . . . . . . . . . . . . : 87.xxx.xxx.92
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IP-адрес  . . . . . . . . . . . . : 87.xxx.xxx.91
       Маска подсети . . . . . . . . . . : 255.255.255.248
       IP-адрес  . . . . . . . . . . . . : 87.xxx.xxx.90
       Маска подсети . . . . . . . . . . : 255.255.255.248
       Основной шлюз . . . . . . . . . . : 87.xxx.xxx.89

    LAN - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       IP-адрес  . . . . . . . . . . . . : 192.168.2.10
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :

    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    87.xxx.xxx.89    87.xxx.xxx.90     20
        87.245.188.88  255.255.255.248    87.xxx.xxx.90    87.xxx.xxx.90     20
        87.245.188.90  255.255.255.255        127.0.0.1        127.0.0.1     20
        87.245.188.91  255.255.255.255        127.0.0.1        127.0.0.1     20
        87.245.188.92  255.255.255.255        127.0.0.1        127.0.0.1     20
        87.245.188.93  255.255.255.255        127.0.0.1        127.0.0.1     20
        87.245.188.94  255.255.255.255        127.0.0.1        127.0.0.1     20
       87.255.255.255  255.255.255.255    87.xxx.xxx.90    87.xxx.xxx.90     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          192.168.0.0    255.255.255.0          0.0.0.0         ffffffff      1
          192.168.2.0    255.255.255.0     192.168.2.10     192.168.2.10     10
         192.168.2.10  255.255.255.255        127.0.0.1        127.0.0.1     10
        192.168.2.255  255.255.255.255     192.168.2.10     192.168.2.10     10
            224.0.0.0        240.0.0.0    87.xxx.xxx.90    87.xxx.xxx.90     20
            224.0.0.0        240.0.0.0     192.168.2.10     192.168.2.10     10
      255.255.255.255  255.255.255.255    87.xxx.xxx.90    87.xxx.xxx.90      1
      255.255.255.255  255.255.255.255     192.168.2.10     192.168.2.10      1
    Основной шлюз:       87.xxx.xxx.89
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    По поводу GRE общался с  провайдёром - говорят GRE не закрывают. Да и VPN клиенты, если разрешить им доступ, к филиалу коннектятся из офиса и наоборот.
    Смущает меня в таблицах маршрутизации интерфейс ffffffff. Это интерфейс по требованию, конечно, но почему-то ffffffff. Хотв офисе он должен называться el-branch а  в филиале gamaleya. Почему у него такой if, и нормально ли это я не знаю.

    При попытке подключения к филиалу...

    RASTAPI.LOG

    [1504] 09-09 09:58:19:060: PortDisconnect: VPN3-2
    [1504] 09-09 09:58:19:060: PortDisconnect: Changing State of VPN3-2 from 2 -> 1
    [1504] 09-09 09:58:19:060: 
    [1504] 09-09 09:58:19:060: DeviceConnect: calling lineMakeCall for VPN3-2, address=87.245.188.90
    [1504] 09-09 09:58:19:060: DeviceConnect: Changing state for VPN3-2 from 1 -> 4
    [1688] 09-09 09:58:19:060: RasTapicallback: msg=12 , param1=66174l , param2=0l
    [1688] 09-09 09:58:19:060: LINE_REPLY. param1=0x1027e
    [1688] 09-09 09:58:19:060: RasTapicallback: msg=2 , param1=16l , param2=0l
    [1688] 09-09 09:58:19:060: RasTapicallback: linecallstate=0x10
    [1688] 09-09 09:58:40:045: RasTapicallback: msg=2 , param1=16384l , param2=256l
    [1688] 09-09 09:58:40:045: RasTapicallback: linecallstate=0x4000
    [1688] 09-09 09:58:40:045: RasTapiCallback: LINECALLSTATE_DISCONNECTED for port VPN3-2. AsyncErr = 769, param2=0x100
    [1688] 09-09 09:58:40:045: RasTapicallback: msg=2 , param1=1l , param2=0l
    [1688] 09-09 09:58:40:045: RasTapicallback: linecallstate=0x1
    [1620] 09-09 09:58:40:045: DeviceWork: VPN3-2. State = 4
    [1504] 09-09 09:58:40:045: PortDisconnect: VPN3-2
    [1504] 09-09 09:58:40:045: InitiatePortDisconnection: VPN3-2
    [1504] 09-09 09:58:40:045: InitiatePortDisconnection: Changing state for VPN3-2 from 4 -> 5, id=0x1007e
    [1504] 09-09 09:58:40:045: 
    [1504] 09-09 09:58:40:045: 
    [1688] 09-09 09:58:40:045: RasTapicallback: msg=12 , param1=65662l , param2=2147483720l
    [1688] 09-09 09:58:40:045: LINE_REPLY. param1=0x1007e
    [1688] 09-09 09:58:40:045: RasTapiCallback: lineDropped. port VPN3-2, id=0xffffffff
    [1688] 09-09 09:58:40:045: RasTapiCallback: Idle Received for port VPN3-2
    [1688] 09-09 09:58:40:045: RasTapiCallback: changing state of VPN3-2. 5 -> 1
    [1688] 09-09 09:58:40:045: RasTapiCallback: lineDeallocateCall for VPN3-2,hcall = 0x1008f
    [1620] 09-09 09:58:40:045: PortTestSignalState: DeviceState = 0
    [1504] 09-09 09:58:40:045: PortClose: VPN3-2
    [1504] 09-09 09:58:40:045: PortClose: Changing state for  VPN3-2 from 1 -> 0
    [1504] 09-09 09:58:40:045: 
    [1504] 09-09 09:58:40:154: PortOpen: VPN3-2
    [1504] 09-09 09:58:40:154: PortOpen: successfully opened VPN3-2
    [1504] 09-09 09:58:40:154: 
    [1504] 09-09 09:58:40:154: DeviceListen: Changing State for VPN3-2 from 1 -> 2
    [1504] 09-09 09:58:40:154: DeviceListen: Changing Listen State for VPN3-2 from 0 -> 2
    [1504] 09-09 09:58:40:154: 

    IPRouteManager.LOG

    [1504] 09:58:40: InterfaceNotReachable: el-branch is not reachable for reason 1
    [4036] 09:58:41: ChangeRouteWithForwarder: Deleting all routes to 192.168.2.0/255.255.255.0

    Router.LOG

    3244] 09-09 09:58:19:060: RasConnectionInitiate: To el-branch dwRetCode=600
    [1504] 09-09 09:58:40:045: RasConnectCallback:Could not connect to SubEntry 1,dwError=769
    [1504] 09-09 09:58:40:045: RasConnectCallback:Could not connect to interface el-branch
    [1504] 09-09 09:58:40:045: RasConnectCallback: hanging up 0x590000
    [1504] 09-09 09:58:40:154: Will mark interface el-branch as reachable after 3897 seconds
    [1504] 09-09 09:58:40:154: Notifying Protocol = 0x21,Interface=el-branch is UnReachable=1

    KMDDSP.LOG

    3748] 09:58:19:060:     lineMakeCall(86): reqID(1027e), line(00C00000)
    [3748] 09:58:19:060: !   AsyncDriverRequest: oid(MakeCall), devID(1), ReqID(1027e), reqID(1d5), hdCall(80000001)
    [1876] 09:58:19:060: !   AsyncEventsThread: got a line event
    [1876] 09:58:19:060: !   ProcessEvent: event(000A7F98), msg(2), ht_line(00C00000), ht_call(00CC0004), p1(00000010), p2(00000000), p3(00000100)
    [1876] 09:58:19:060: !   ProcessEvent: incomplete outbound call, saving state
    [1876] 09:58:19:060: !   AsyncEventsThread: got a completed req
    [1876] 09:58:19:060: !   AsyncEventsThread: req(000AEA80) with reqID(1027e) returned lRes(0)
    [1876] 09:58:19:060:     lineMakeCall_post: lRes(0)
    [1876] 09:58:19:060:     AsyncEventsThread: call compproc with ReqID(1027e), lRes(0)
    [1876] 09:58:19:060: !   AsyncEventsThread: report back the saved call state
    [1876] 09:58:19:060: !   AET::fnLineEvent(CALLSTATE): htline(00010006), htcall(000100B2), p1(00000010), p2(00000000), p3(00000100)
    [1444] 09:58:19:060:     lineGetCallInfo(86): call(00CC0004)
    [1444] 09:58:19:060: !   SyncDriverRequest: oid(GetCallInfo), devID(1), reqID(1d6), hdCall(00005007)
    [1876] 09:58:40:045: !   AsyncEventsThread: got a line event
    [1876] 09:58:40:045: !   ProcessEvent: event(000A7F98), msg(2), ht_line(00C00000), ht_call(00CC0004), p1(00004000), p2(00000100), p3(00000100)
    [1876] 09:58:40:045: !   PE::fnLineEvent(CALLSTATE): htline(00010006), htcall(000100B2), p1(00004000), p2(00000100), p3(00000100)
    [1876] 09:58:40:045: !   PE::fnLineEvent(CALLSTATE_IDLE): htline(00010006), htcall(000100B2), p3(00000100)
    [3748] 09:58:40:045:     lineDrop(86): reqID(1007e), call(00CC0004)
    [3748] 09:58:40:045: !   AsyncDriverRequest: oid(Drop), devID(1), ReqID(1007e), reqID(1d7), hdCall(5007)
    [1876] 09:58:40:045: !   AsyncEventsThread: got a completed req
    [1876] 09:58:40:045: !   AsyncEventsThread: req(000AEA80) with reqID(1007e) returned lRes(80000048)
    [1876] 09:58:40:045:     lineDrop_post: lRes(80000048)
    [1876] 09:58:40:045:     AsyncEventsThread: call compproc with ReqID(1007e), lRes(80000048)
    [3748] 09:58:40:045:     lineCloseCall(86): call(00CC0004)
    [3748] 09:58:40:045: !   SyncDriverRequest: oid(CloseCall), devID(1), reqID(1d8), hdCall(00005007)

    NETMAN.LOG

    [828] 09:58:19:060: NOTIFY: Notifying ConnectionStatusChange... (pSink=0x05E41F84) [NCS_CONNECTING]
    [828] 09:58:40:045: NOTIFY: Notifying ConnectionStatusChange... (pSink=0x05E41F84) [NCS_DISCONNECTING]
    [4036] 09:58:40:154: NOTIFY: Notifying ConnectionStatusChange... (pSink=0x05E41F84) [NCS_DISCONNECTED]

    RASMAN.LOG

    [1504] 09-09 09:58:40:154: Listen posted on port: VPN3-2, error code: 600
    [1504] 09-09 09:58:40:154: RemoveConnectionPort: port 21, fOwnerClose=1, pConn=0x5cef1f0, pConn->CB_Ports=0

    [1504] 09-09 09:58:40:154: SendSensNotification(_RAS_DISCONNECT) for 0x00590000 returns 0x00000000
    [1504] 09-09 09:58:40:154: DwSendNotificationInternal(ENTRY_DISCONNECTED) rc=0x0
    [1504] 09-09 09:58:40:154: RemoveConnectionPort: FreeConnection hconn=0x590000, pconn=0x5cef1f0, AutoClose=0
    [1504] 09-09 09:58:40:154: FreeConnection: pConn=0x5cef1f0, 0
    [1504] 09-09 09:58:40:154: d:\nt\net\rras\ras\rasman\rasman\request.c, 3597: Clearing the autoclose flag for port 21
    [1504] 09-09 09:58:40:154: PortClose: port (21). OpenInstances = 1
    [1504] 09-09 09:58:40:154: PortClose: pid(788) tried to close server port. Returning ERROR_ACCESS_DENIED
    [3244] 09-09 09:59:11:654: Failed to generate certificate list. rc=0x103, Count=0, MyStoreEmpty=1
    [3244] 09-09 09:59:11:654: DwUpdatePreSharedKey:Failed to fetch certs and PSK=NULL - deleting auth methods
    [3244] 09-09 09:59:11:654: DwUpdatePreSharedKey returned 0
    [3244] 09-09 09:59:11:654: Failed to generate certificate list. rc=0x103, Count=0, MyStoreEmpty=1
    [3244] 09-09 09:59:11:654: DwUpdatePreSharedKey:Failed to fetch certs and PSK=NULL - deleting auth methods
    [3244] 09-09 09:59:11:654: DwUpdatePreSharedKey returned 0

    Причём тут PreShared Key, если используется pptp. Кстати, если использовать L2TP ситуация похожая.

    С Уважением, Александр.

    9 сентября 2009 г. 6:21
  • А Вы пробовали пересоздавать интерфейсы вызова по требованию?
    9 сентября 2009 г. 6:38
    Отвечающий
  • Я несколько раз перенастраивал полностью всё - даж учётки удалял для авторизации при входящем вызове и создавал их заново. Сейчас попробывал пересоздать вручную только интерфейсы вызова по тредованию через консоль RRAS - то же самое - несколько секунд попытка соединения - потом ошибка 20111 

    Источник: RemoteAccess

    Код: 20111

    Подключение по требованию к удаленному интерфейсу "el-branch" через порт "VPN3-1" успешно инициировано, но не закончено, из-за ошибки: Указанное назначение недостижимо.

    9 сентября 2009 г. 7:03
  • Может, L2TP попробовать? :) А в самих интерфейсах "по требованию" настройки правильные, ну, там проверка подлинности и т.п.?..
    9 сентября 2009 г. 7:17
    Отвечающий
  • Всё удалил настроил по L2TP с прешаред кей. Работает ... пока. Но самое интересное я так уже делал - и с тех пор ничего нового не узнал - и не работало...
    В общем не знаю насколько можно на это полагаться, но время покажет. Спасибо большое.
    С Уважением, Александр.
    9 сентября 2009 г. 8:39
  • Пожалуйста, обидно, конечно, что проблема осталась неразршенной.

    9 сентября 2009 г. 8:42
    Отвечающий