News:

Автоматизация бардака приводит к автоматизированному бардаку

Main Menu

vpn падает

Started by adr60, 08 April 2019, 18:06

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

adr60

По каким причинам vpn  может быть не стабильным или вообще не подниматься? время от времени канал падает. Моет вообще больше не подняться целый день. Провайдеры утверждают что у них все хорошо. При попытке соединиться через альтернативного провайдера, например сеть Билайн, канал поднимается.

ival

Quote from: adr60 on 08 April 2019, 18:06По каким причинам vpn  может быть не стабильным или вообще не подниматься? время от времени канал падает. Моет вообще больше не подняться целый день. Провайдеры утверждают что у них все хорошо. При попытке соединиться через альтернативного провайдера, например сеть Билайн, канал поднимается.
Хотелось бы узнать какая технология используется и какое оборудование (ос) на обоих концах. Ну и логи если можно. Сразу вопрос при рабочем vpn-канале и при при упавшем маршрут между сайтами одинаковый?

adr60

в офисе, роутер Keenetic LTE. На нем настроен vpn сервер. Раньше все работало стабильно. на другой стороне vpn настроен на ноутбуке средсвами win 10. тип vpn pptp. в узлах все хорошо, ничего не меняется при стабильной работе и в моменты разрыва. я бы не хотел углубляться в настройки, они достаточно простые и особо ничего поменять нельзя. Проблемы возникают по пути. Что можно предъявить провайдеру? что может на сети провайдера мешать установить  vpn?

ival

Quote from: adr60 on 09 April 2019, 01:05в офисе, роутер Keenetic LTE. На нем настроен vpn сервер. Раньше все работало стабильно. на другой стороне vpn настроен на ноутбуке средсвами win 10. тип vpn pptp. в узлах все хорошо, ничего не меняется при стабильной работе и в моменты разрыва. я бы не хотел углубляться в настройки, они достаточно простые и особо ничего поменять нельзя. Проблемы возникают по пути. Что можно предъявить провайдеру? что может на сети провайдера мешать установить  vpn?
Если pptp то велика вероятность, что проблема в протоколе GRE. Подтвердить это без логов весьма проблематично, тем более доказать это провайдеру. Провайдер может сказать, что пакет теряться в транзитной сети или на клиентском маршрутизаторе. Мешать может любой маршрутизатор на котором запрещен протокол gre. Чаще всего такое бывает: когда у клиента на его маршрутизаторе не включена функция инкапсуляции gre (на asus называется pptp-Passthrough - как-то так) или клиент сидит за провайдерским натом (адреса выдаются из частной ip адресации). Самое простое для начала это сделать трассировку в моменты рабочего vpn и в моменты нерабочего vpn до внешних ip кинетика с пк и наоборот, чтобы быть уверенным, что используется один маршрут. Также проверить доступность порта 1723 tcp на сервере с клиента, в момент проблемы с туннелем. Какую ошибку 10 выдаёт когда пытаетесь подключиться?

adr60

win 10 пишет, что ошибка в передаче впн из-за неявного интернета итд. номера ошибки нет. трассировка захлебывается на 10 шаге.

ival

Quote from: adr60 on 09 April 2019, 13:21трассировка захлебывается на 10 шаге.
Выложите посмотреть. 10 шаг это точно не ваше устройство? ICMP на кинетеке разрешён? Просто пинг доходит? Доступность порта 1723 проверили?

adr60

к провайдеру клиент подключен по PPPoE, сетка десятая. тоесть за провайдерским натом. Но провайдет клянется, что ничего у себя не перенастраивает. А раньше все работало нормально.

adr60

Microsoft Windows [Version 10.0.17134.648]
(c) Корпорация Майкрософт (Microsoft Corporation), 2018. Все права защищены.

C:\Users\Андрей>tracert 37.228.**.**

Трассировка маршрута к unspecified.izmaylovo.mtw.ru [37.228.**.**]
с максимальным числом прыжков 30:

  1     1 ms     2 ms    <1 мс  adr1 [192.168.5.1]
  2     1 ms     1 ms     3 ms  se3.ons24.net [81.91.189.3]
  3     2 ms     1 ms     1 ms  gate.ons24.net [81.91.189.1]
  4     4 ms     2 ms     2 ms  transport1-1.ons24.net [77.91.64.137]
  5     2 ms     2 ms     2 ms  213.219.206.253
  6     5 ms     5 ms     3 ms  xe-7-0-0.mbr1.msk1.ip.di-net.ru [213.248.7.88]
  7     3 ms     3 ms     3 ms  te2-1.sr7.msk1.ip.di-net.ru [213.248.3.31]
  8     3 ms     3 ms     3 ms  te-0-2.sr21.msk4.ip.di-net.ru [213.248.3.78]
  9     3 ms     3 ms     3 ms  vl-721.sr15.msk4.ip.di-net.ru [213.248.3.154]
 10     3 ms     3 ms     3 ms  89.208.23.38
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.

C:\Users\Андрей> десятый шаг точно не наше устройство. просто пинг запрещен где-то на роутере, не могу найти. Но роутер доступен. Я же могу в него влезть если не использовать vpn. порт 1723 тоже доступен. Я же периодически поднимаю vpn тоже. Он жн не может сам по себе то открываться, то закрываться

ival

#8
Quote from: adr60 on 09 April 2019, 16:27орт 1723 тоже доступен

Доступен ли он когда появляется ошибка??


Quote from: adr60 on 09 April 2019, 16:27Он жн не может сам по себе то открываться, то закрываться

Сам открываться и закрываться на Вашем кинетике не может, но доступность порта зависит не только от вашего кинетика.

Quote from: adr60 on 09 April 2019, 16:27просто пинг запрещен где-то на роутере

Скорее всего там нужно разрешить ICMP на внешний интерфейс в файрволе.

Я просто не знаю как простыми методами можно провести диагностику, это единственное что я могу предложить.

По хорошему нужно взять еще одну машину с 7 допустим и стой же сети где 10  проверить, что проблема точно не в ПК (может быть плавующая проблема после какого-нибудь обновления, на W10 такое уже было с интерфейсами VPN). Брать Wireshark, запускать на ПК с Windows 10 и снимать дамп для IP вашего VPN сервера по протоколам tcp, udp и gre. На стороне кинетика делать аналогично. Не уверен, что у кинетика есть tcpdump, но Syslog точно есть, поэтому настраивать и смотреть, что приходит на него с IP клиента на Windows 10


Уваров А.С.

Quote from: ival on 09 April 2019, 08:45Провайдер может сказать, что пакет теряться в транзитной сети или на клиентском маршрутизаторе. Мешать может любой маршрутизатор на котором запрещен протокол gre.

Причем так может быть на самом деле, особенно если где-то на пути есть мобильные провайдеры. Я помню одно время назад через мобильный интернет вообще было PPTP не поднять, так как GRE был зарезан.

Я бы на месте топикстартера попробовал бы настроить L2TP и сравнить. L2TP использует только одно соединение, все остальное инкапсулируется внутрь. Из минусов - более высокая нагрузка на оборудование.

adr60

как ни странно, но если подключаться через сеть Билайн, все стабильно работает.

ival

Quote from: Уваров А.С. on 10 April 2019, 00:41Причем так может быть на самом деле, особенно если где-то на пути есть мобильные провайдеры. Я помню одно время назад через мобильный интернет вообще было PPTP не поднять, так как GRE был зарезан.

Я бы на месте топикстартера попробовал бы настроить L2TP и сравнить. L2TP использует только одно соединение, все остальное инкапсулируется внутрь. Из минусов - более высокая нагрузка на оборудование.
Не уверен что домашний роутер типа кинетика поддерживает l2tp как сервер.
Quote from: adr60 on 10 April 2019, 07:28как ни странно, но если подключаться через сеть Билайн, все стабильно работает.
Ничего удивительного, маршрут то другой. Ну есть плюс, значит ос точно не причём. Поэтому witeshark и syslog, анализировать и писать письмо провайдеру на основе анализа.

adr60

Microsoft Windows [Version 10.0.17134.648]
(c) Корпорация Майкрософт (Microsoft Corporation), 2018. Все права защищены.

C:\Users\Андрей>tracert 37.228.**.**

Трассировка маршрута к unspecified.izmaylovo.mtw.ru [37.228.**.**]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  adr1 [192.168.5.1]
  2     1 ms     1 ms     1 ms  se2.ons24.net [81.91.189.4]
  3     2 ms     1 ms     1 ms  gate.ons24.net [81.91.189.1]
  4     2 ms     2 ms     2 ms  transport1-1.ons24.net [77.91.64.137]
  5     2 ms     2 ms     2 ms  213.219.206.253
  6     7 ms     3 ms     3 ms  xe-7-0-0.mbr1.msk1.ip.di-net.ru [213.248.7.88]
  7     3 ms     3 ms     3 ms  te2-1.sr7.msk1.ip.di-net.ru [213.248.3.31]
  8     4 ms     3 ms     3 ms  te-0-2.sr21.msk4.ip.di-net.ru [213.248.3.78]
  9     3 ms     2 ms     3 ms  vl-721.sr15.msk4.ip.di-net.ru [213.248.3.154]
 10     3 ms     3 ms     3 ms  89.208.23.38
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.

C:\Users\Андрей>

adr60

одинаково. При рабочем випиен, а в прошлый раз было при упавшем випиен.

ival

Quote from: adr60 on 10 April 2019, 14:07одинаково. При рабочем випиен, а в прошлый раз было при упавшем випиен.

Вы проходите часть трассы не доходя даже до шлюза провайдера со стороны кинетика, из-за того что на транзитном устройстве запрещены  ICMP 0,8,30 (и/или). Можно попробовать с любой linux-машины, там идет уже UDP пакет а не ICMP. Но это тоже не 100 вариант, что вы достигнете узла назначения. Я так и не увидел где, что вы проверили доступность порта 1723. Все это были варианты, на "авось прокатит", но они не дали понять ничего сейчас.

Действенный вариант я Вам написал Выше

Quote from: ival on 09 April 2019, 17:31Брать Wireshark, запускать на ПК с Windows 10 и снимать дамп для IP вашего VPN сервера по протоколам tcp, udp и gre. На стороне кинетика делать аналогично. Не уверен, что у кинетика есть tcpdump, но Syslog точно есть, поэтому настраивать и смотреть, что приходит на него с IP клиента на Windows 10