Tenho um cliente (Server 2008 R2) que não se conecta ao nosso servidor PPTP VPN de ambiente de produção (Server 2003, executando o RRAS).
O servidor está protegido por um firewall que tem o TCP1723 aberto, bem como o GRE. Outros clientes em nosso escritório podem se conectar muito bem. Nosso escritório está por trás de um firewall do Serial Juniper SSG5, mas todo o tráfego de saída é permitido, e vários outros clientes podem se conectar a servidores VPN sem problemas.
Eu também configurei um servidor VPN completamente diferente em outra rede fora do nosso escritório. Os clientes funcionais se conectam muito bem - a máquina do Server 2008 R2 não. Assim, é definitivamente um problema com esta máquina em particular.
Eu reiniciei. Eu desativei o firewall, sem dados em nenhum dos dois.
Eu executei PPTPSRV e PPTPCLNT no servidor / cliente e eles podem se comunicar perfeitamente - indicando que não há nenhum problema usando TCP1723 nem GRE.
A máquina Server 2008 R2 também está sendo executada como um servidor VPN (conexão de entrada) e isso funciona perfeitamente. Nós temos os problemas, não importa se há conexões de entrada ativas ou não.
Não sei qual será minha próxima etapa de depuração; alguma sugestão?
EDIT: O log de eventos no servidor tem o seguinte aviso do RasMan:
A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been
established, but the VPN connection cannot be completed. The most common cause
for this is that a firewall or router between the VPN server and the VPN client
is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47).
Verify that the firewalls and routers between your VPN server and the Internet allow
GRE packets. Make sure the firewalls and routers on the user's network are also
configured to allow GRE packets. If the problem persists, have the user contact
the Internet service provider (ISP) to determine whether the ISP might be blocking
GRE packets.
Obviamente, isso indica que o GRE é um problema em potencial. Mas visto que tenho outros clientes conectados sem problemas, assim como PPTPSRV e PPTPCLNT sendo capazes de se comunicar, eu estou suspeitando que isso possa ser uma pista falsa.
EDIT: Aqui estão os eventos anônimos registrados pelo cliente em ordem cronológica:
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has started dialing a VPN connection using a per-user connection profile named ZZZ. The connection settings are:
Dial-in User = XXX\YYY
VpnStrategy = PPTP
DataEncryption = Require
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = CHAP/MS-CHAPv2
Ipv4DefaultGateway = No
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = Register primary domain suffix
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY is trying to establish a link to the Remote Access Server for the connection named ZZZ using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has successfully established a link to the Remote Access Server using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The link to the Remote Access Server has been established by user XXX\YYY.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY dialed a connection named ZZZ which has failed. The error code returned on failure is 806.
A execução do Wireshark no cliente mostra-o tentando e tentando novamente enviar "71 Request Configuration"
Enquantooservidormostraassolicitaçõesdeentradadocliente,masaparentementesemresponder:
Dado que este é o tráfego GRE, acho que exclui o tráfego GRE bloqueado. A pergunta é: por que o servidor não responde?
Esta é a Solicitação de Configuração que o servidor recebe do cliente que não está funcionando (ou seja, nenhuma resposta é enviada para a solicitação do cliente):
EestaéaSolicitaçãodeconfiguraçãoqueoservidorrecebedoclienteemfuncionamento:
Para mim, eles parecem idênticos, exceto por chaves e números mágicos diferentes, e pelo fato de um cliente receber uma resposta enquanto o outro não.
O pensamento de que o ISP ou outro problema remoto está no local. Já vimos isso muitas vezes com a equipe trabalhando remotamente. O ISP ou o departamento de TI nos sites remotos bloqueiam o tráfego de VPN.
Também vi problemas com alguns roteadores domésticos que não permitiam o PPTP adequadamente. Nós conectamos diretamente e testamos o que então apontava para o ISP ou para o hardware da casa