none
Разъединение VPN подключения с RRAS RRS feed

  • Общие обсуждения

  • Всем доброго дня!

    Столкнулся с проблемой разъединения VPN подключения с RRAS сервером.

    В Просмотр событий появляется следующее сообщение:

    CoID={164FA04D-A8BB-450F-AD84-B5811E2C9C37}: Пользователь XXX\xxx установил удаленное подключение VPN XXX, которое было прекращено. При прекращении возвращен код причины 829.

    Было выявлено, что подключение отваливается через 65-67 секунд в условиях, когда через туннель не отправляются/принимаются какие-либо данные. Если подключить VPN и поставить бесконечный пинг на любой хост, доступный через данное соединение, то все работает нормально.

    IDLE TIMEOUT выключен

    SESSION TIMEOUT выключен.

    Возможно кто-то уже сталкивался и успешно решил данную проблему?

    Буду очень благодарен за ваши советы. 

    Спасибо!

    26 декабря 2016 г. 11:59

Все ответы

  • 829 - это ERROR_LINK_FAILURE

    У вас между клиентом и сервером есть шлюз с NAT? Тогда есть подозрение, что обрыв связан с таймаутом сопоставления трансляции на шлюзе NAT между клиентом и сервером: если используется L2TP/IPsec в режиме NAT Traversal, то пакеты VPN инкапсулируются в UDP, а время жизни неактивного сопоставления трансляции для UDP - оно как раз может быть в районе минуты.

    Можно попробовать для диагностики в таком случае настроить VPN по протоколу PPTP, но не факт что NAT его пропустит (не все устройства это умеют). Если настроить получится и если при этом соединение не падает через минуту неактивности, то проблема, весьма вероятно, именно во времени жизни неактивного сопоставления NAT. Чтобы бороться с этим, надо разбираться со шлюзом NAT - каково это время и можно ли его настроить. Ну и, при наличии возможности просматривать список сопоставлений - предварительно понаблюдать, что сопоставление действительно при этом исчезает, т.е., что диагноз верен.

    PS PPTP на постоянной основе оставлять нежелательно - по нынешним временам его шифрование недостаточно стойко.


    Слава России!

    26 декабря 2016 г. 17:43
  • Спасибо за совет!

    Проблема одинакова для подключения из разных мест с разными NAT.


    • Изменено Andrei Mazour 27 декабря 2016 г. 13:05
    27 декабря 2016 г. 13:05
  • Ну, тогда можно попробовать на стороне сервера уменьшить интервал между сообщениями о поддержании соединения (HELLO) путём уменьшения параметра HelloMS в реестре (типа REG_DWORD, его надо создавать, более подробно, где он расположен и что он означает, читайте в статье MS KB: https://support.microsoft.com/en-us/kb/262990, например - поставить его в 10000 (миллисекунд, т.е. 10 секунд).


    Слава России!

    27 декабря 2016 г. 14:08
  • Работаем через IKEv2 подключение. PPTP и L2TP не используем.


    • Изменено Andrei Mazour 27 декабря 2016 г. 14:29
    27 декабря 2016 г. 14:28
  • А сразу про это написать можно было?


    Слава России!

    27 декабря 2016 г. 14:58
  • Извиняюсь..
    28 декабря 2016 г. 6:44