28 марта 2024, 17:05

Цитата дня:

Теория- это когда ты знаешь все, но ничего не работает. Практика - это когда все работает, но никто не знает почему.


vpn падает

Автор adr60, 08 апреля 2019, 18:06

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

adr60

По каким причинам vpn  может быть не стабильным или вообще не подниматься? время от времени канал падает. Моет вообще больше не подняться целый день. Провайдеры утверждают что у них все хорошо. При попытке соединиться через альтернативного провайдера, например сеть Билайн, канал поднимается.

ival

По каким причинам vpn  может быть не стабильным или вообще не подниматься? время от времени канал падает. Моет вообще больше не подняться целый день. Провайдеры утверждают что у них все хорошо. При попытке соединиться через альтернативного провайдера, например сеть Билайн, канал поднимается.
Хотелось бы узнать какая технология используется и какое оборудование (ос) на обоих концах. Ну и логи если можно. Сразу вопрос при рабочем vpn-канале и при при упавшем маршрут между сайтами одинаковый?

adr60

в офисе, роутер Keenetic LTE. На нем настроен vpn сервер. Раньше все работало стабильно. на другой стороне vpn настроен на ноутбуке средсвами win 10. тип vpn pptp. в узлах все хорошо, ничего не меняется при стабильной работе и в моменты разрыва. я бы не хотел углубляться в настройки, они достаточно простые и особо ничего поменять нельзя. Проблемы возникают по пути. Что можно предъявить провайдеру? что может на сети провайдера мешать установить  vpn?

ival

в офисе, роутер Keenetic LTE. На нем настроен vpn сервер. Раньше все работало стабильно. на другой стороне vpn настроен на ноутбуке средсвами win 10. тип vpn pptp. в узлах все хорошо, ничего не меняется при стабильной работе и в моменты разрыва. я бы не хотел углубляться в настройки, они достаточно простые и особо ничего поменять нельзя. Проблемы возникают по пути. Что можно предъявить провайдеру? что может на сети провайдера мешать установить  vpn?
Если pptp то велика вероятность, что проблема в протоколе GRE. Подтвердить это без логов весьма проблематично, тем более доказать это провайдеру. Провайдер может сказать, что пакет теряться в транзитной сети или на клиентском маршрутизаторе. Мешать может любой маршрутизатор на котором запрещен протокол gre. Чаще всего такое бывает: когда у клиента на его маршрутизаторе не включена функция инкапсуляции gre (на asus называется pptp-Passthrough - как-то так) или клиент сидит за провайдерским натом (адреса выдаются из частной ip адресации). Самое простое для начала это сделать трассировку в моменты рабочего vpn и в моменты нерабочего vpn до внешних ip кинетика с пк и наоборот, чтобы быть уверенным, что используется один маршрут. Также проверить доступность порта 1723 tcp на сервере с клиента, в момент проблемы с туннелем. Какую ошибку 10 выдаёт когда пытаетесь подключиться?

adr60

win 10 пишет, что ошибка в передаче впн из-за неявного интернета итд. номера ошибки нет. трассировка захлебывается на 10 шаге.

ival

трассировка захлебывается на 10 шаге.
Выложите посмотреть. 10 шаг это точно не ваше устройство? ICMP на кинетеке разрешён? Просто пинг доходит? Доступность порта 1723 проверили?

adr60

к провайдеру клиент подключен по PPPoE, сетка десятая. тоесть за провайдерским натом. Но провайдет клянется, что ничего у себя не перенастраивает. А раньше все работало нормально.

adr60

Microsoft Windows [Version 10.0.17134.648]
(c) Корпорация Майкрософт (Microsoft Corporation), 2018. Все права защищены.

C:\Users\Андрей>tracert 37.228.**.**

Трассировка маршрута к unspecified.izmaylovo.mtw.ru [37.228.**.**]
с максимальным числом прыжков 30:

  1     1 ms     2 ms    <1 мс  adr1 [192.168.5.1]
  2     1 ms     1 ms     3 ms  se3.ons24.net [81.91.189.3]
  3     2 ms     1 ms     1 ms  gate.ons24.net [81.91.189.1]
  4     4 ms     2 ms     2 ms  transport1-1.ons24.net [77.91.64.137]
  5     2 ms     2 ms     2 ms  213.219.206.253
  6     5 ms     5 ms     3 ms  xe-7-0-0.mbr1.msk1.ip.di-net.ru [213.248.7.88]
  7     3 ms     3 ms     3 ms  te2-1.sr7.msk1.ip.di-net.ru [213.248.3.31]
  8     3 ms     3 ms     3 ms  te-0-2.sr21.msk4.ip.di-net.ru [213.248.3.78]
  9     3 ms     3 ms     3 ms  vl-721.sr15.msk4.ip.di-net.ru [213.248.3.154]
 10     3 ms     3 ms     3 ms  89.208.23.38
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.

C:\Users\Андрей> десятый шаг точно не наше устройство. просто пинг запрещен где-то на роутере, не могу найти. Но роутер доступен. Я же могу в него влезть если не использовать vpn. порт 1723 тоже доступен. Я же периодически поднимаю vpn тоже. Он жн не может сам по себе то открываться, то закрываться

ival

#8
09 апреля 2019, 17:31 Последнее редактирование: 09 апреля 2019, 17:38 от ival
орт 1723 тоже доступен
Доступен ли он когда появляется ошибка??


Он жн не может сам по себе то открываться, то закрываться
Сам открываться и закрываться на Вашем кинетике не может, но доступность порта зависит не только от вашего кинетика.

просто пинг запрещен где-то на роутере
Скорее всего там нужно разрешить ICMP на внешний интерфейс в файрволе.

Я просто не знаю как простыми методами можно провести диагностику, это единственное что я могу предложить.

По хорошему нужно взять еще одну машину с 7 допустим и стой же сети где 10  проверить, что проблема точно не в ПК (может быть плавующая проблема после какого-нибудь обновления, на W10 такое уже было с интерфейсами VPN). Брать Wireshark, запускать на ПК с Windows 10 и снимать дамп для IP вашего VPN сервера по протоколам tcp, udp и gre. На стороне кинетика делать аналогично. Не уверен, что у кинетика есть tcpdump, но Syslog точно есть, поэтому настраивать и смотреть, что приходит на него с IP клиента на Windows 10


Уваров А.С.

Провайдер может сказать, что пакет теряться в транзитной сети или на клиентском маршрутизаторе. Мешать может любой маршрутизатор на котором запрещен протокол gre.
Причем так может быть на самом деле, особенно если где-то на пути есть мобильные провайдеры. Я помню одно время назад через мобильный интернет вообще было PPTP не поднять, так как GRE был зарезан.

Я бы на месте топикстартера попробовал бы настроить L2TP и сравнить. L2TP использует только одно соединение, все остальное инкапсулируется внутрь. Из минусов - более высокая нагрузка на оборудование.

adr60

как ни странно, но если подключаться через сеть Билайн, все стабильно работает.

ival

Причем так может быть на самом деле, особенно если где-то на пути есть мобильные провайдеры. Я помню одно время назад через мобильный интернет вообще было PPTP не поднять, так как GRE был зарезан.

Я бы на месте топикстартера попробовал бы настроить L2TP и сравнить. L2TP использует только одно соединение, все остальное инкапсулируется внутрь. Из минусов - более высокая нагрузка на оборудование.
Не уверен что домашний роутер типа кинетика поддерживает l2tp как сервер.
как ни странно, но если подключаться через сеть Билайн, все стабильно работает.
Ничего удивительного, маршрут то другой. Ну есть плюс, значит ос точно не причём. Поэтому witeshark и syslog, анализировать и писать письмо провайдеру на основе анализа.

adr60

Microsoft Windows [Version 10.0.17134.648]
(c) Корпорация Майкрософт (Microsoft Corporation), 2018. Все права защищены.

C:\Users\Андрей>tracert 37.228.**.**

Трассировка маршрута к unspecified.izmaylovo.mtw.ru [37.228.**.**]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  adr1 [192.168.5.1]
  2     1 ms     1 ms     1 ms  se2.ons24.net [81.91.189.4]
  3     2 ms     1 ms     1 ms  gate.ons24.net [81.91.189.1]
  4     2 ms     2 ms     2 ms  transport1-1.ons24.net [77.91.64.137]
  5     2 ms     2 ms     2 ms  213.219.206.253
  6     7 ms     3 ms     3 ms  xe-7-0-0.mbr1.msk1.ip.di-net.ru [213.248.7.88]
  7     3 ms     3 ms     3 ms  te2-1.sr7.msk1.ip.di-net.ru [213.248.3.31]
  8     4 ms     3 ms     3 ms  te-0-2.sr21.msk4.ip.di-net.ru [213.248.3.78]
  9     3 ms     2 ms     3 ms  vl-721.sr15.msk4.ip.di-net.ru [213.248.3.154]
 10     3 ms     3 ms     3 ms  89.208.23.38
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.

C:\Users\Андрей>

adr60

одинаково. При рабочем випиен, а в прошлый раз было при упавшем випиен.

ival

одинаково. При рабочем випиен, а в прошлый раз было при упавшем випиен.
Вы проходите часть трассы не доходя даже до шлюза провайдера со стороны кинетика, из-за того что на транзитном устройстве запрещены  ICMP 0,8,30 (и/или). Можно попробовать с любой linux-машины, там идет уже UDP пакет а не ICMP. Но это тоже не 100 вариант, что вы достигнете узла назначения. Я так и не увидел где, что вы проверили доступность порта 1723. Все это были варианты, на "авось прокатит", но они не дали понять ничего сейчас.

Действенный вариант я Вам написал Выше

Брать Wireshark, запускать на ПК с Windows 10 и снимать дамп для IP вашего VPN сервера по протоколам tcp, udp и gre. На стороне кинетика делать аналогично. Не уверен, что у кинетика есть tcpdump, но Syslog точно есть, поэтому настраивать и смотреть, что приходит на него с IP клиента на Windows 10

Вверх