News:

Автоматизация бардака приводит к автоматизированному бардаку

Main Menu

VPN-соединения на Windows Server постоянно отваливаются

Started by Alexey M, 04 April 2022, 19:24

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Alexey M

Коллеги, а не сталкивались ли вы с проблемой, что постоянно отваливается любой тип VPN-соединений на Windows Server?

Общего у них только одно - в качестве VPN-сервера выступает Mikrotik.

Я экспериментировал с
2-мя экз. Windows Server 2008R2 (у разных провайдеров) и
2 шт Windows Server 2016  (тоже у разных).
Какие-то серверы в виртуальной среде, какие-то "железные".

Mikrotik - 2 шт CHR, 1 шт - 2011, 1 шт - 3011 - с ветками RoS 6.47 - 6.48

SSTP, L2TP, PPTP - какие-то лучше, какие-то хуже - но всё равно обычно не более часа продолжительность, а в каких-то случаях - так и вообще 3-5 минут до разъединения.

В логах на Микротике ничего вменяемого с любым уровнем детализации, disconnected и всё.

Можно было бы на Mikrotik и валить, но ровно к этим же Микротикам ровно в это же время VPN-сессия с любой десктопной версии Windows висит и сутки и двое и больше.

Пробовал поиграться с MTU для интерфейса VPN-сервера на стороне Mikrotik - но какого-то сильно выраженного эффекта нет.
И в любом случае - с обычной Windows7/8/10 абсолютно без разницы, что там за MTU - всё работает стабильно.

Кто-то что-то может посоветовать?

PS.  Меня  удивляет 3 вещи:
- стабильность проблемы на любых версиях Windows Server
- полное отсутствие проблем на любой десктопной Windows
- отсутствие информации о том, что такая проблема у кого-то еще наблюдается :)




Уваров А.С.

Анализ логов на стороне Windows Server, затем сбор трафика в дамп с последующим анализом.

Alexey M

В общем, проблема эта лечится в 2 шага:

- [HKLM\SYSTEM\CurrentControlSet\services\RasMan\Parameters] "KeepRasConnections"=dword:00000001
- создавать VPN-соединения с параметром "для всех пользователей компьютера"

Возможно, что-то и одно из этого работает, но уж больно доло проверять.

Уваров А.С.

Скорее всего первое, но все равно спасибо. Делиться опытом - это очень ценно.

Alexey M

Ха. Опять споткнулся на этой штуке.
Начал изучать глубже... В общем, отвал любого VPN-соединения происходит в момент входа любого юзера по RDP.
При этом в журналах будет указано что отключение по коду 831. Можно гуглить, но информации чуть..

Ноги проблемы растут еще из WinXP или даже раньше. Упомянутый выше ключ реестра часто срабатывает как надо, но иногда - не оказывает никакого влияния, и vpn продолжает отваливаться при любом логоне удаленного пользователя.

И тут приходит время бубна, увы. Никаких вменяемых решений не найдено.
У меня получился такой алгоритм.

- добавляем KeepRasConnections
- удалить  "роль узла сеансов удаленных рабочих столов"
- удалить впн-соединение
- перезагрузиться
- делать всё под встроенным эккаунтом Администратор (!!)
- создать впн-соединение, поставив галку "разрешить для любого пользователя",
- проверить что соединение не отключается, когда входит другой пользователь
- если не получилось, пересоздавать впн-соединение до тех пор, пока не получится. Имя лучше менять.
- вот теперь можно опять накатить компонент "роль узла сеансов удаленных рабочих столов"