--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

Что-то не так с VPN...

Операционные системы
79
54
С друзьями на NN.RU
В социальных сетях
Поделиться
Deathmaker
05.04.2017
Есть удаленный сервер, на него вход по VPN.
У всех работает кроме... меня.
Ну что ж, бывает, что-то работает не так. Беру ноут жены... тоже не соединяется. Ладно, беру планшет с виндой... правильно, он тоже не соединяется. Везде одно сообщение - ошибка 800.
Пров Домра, роутер стоковый Длинк 825. Кто из этих двух может косячить?
acella
05.04.2017
Чё за vpn ?
Постучи туда телнетом или nmap если udp
Может у тебя порт закрыт.
acella писал(а)
Может у тебя порт закрыт.

У меня - где? На роутере уже сделал правила - не помогло. В фаерволе тоже разрешено.
ВПН мелкософтный, на 2012м сервере, без сертификатов, шифрования и прочего.
acella
05.04.2017
Ну так стукни туда на 1723 порт, хоть знать будешь, что дело не в сети.
не ходит телнет
acella
05.04.2017
Вот !
Ищи где пакеты дропаются.
щас раздал тырнет с мобилы и без проблем подключился с жёниного ноута.
проблема в роутере. завтра зайду к Косте.
acella
05.04.2017
Или в домре, хотя это маловероятно.

Сделай tracetcp ip:1723 -n
Если в роутере. то сразу на нём должны пакеты дропнутся
acella писал(а)
tracetcp ip:1723 -n

что за команда такая?
acella
06.04.2017
Это утилитка такая типа tracert, но она использует не icmp пакеты, а tcp SYN.
Благодаря чему можно проверить прохождение tcp пакета через хоп по определённому порту.
acella писал(а)
tracetcp ip:1723 -n

Tracing route to ХХХ.ХХХ.ХХХ.ХХХ on port 1723
Over a maximum of 30 hops.
1 * * * Request timed out.
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.

Никак не поможет.
acella
06.04.2017
Ощущение, что у тебя пакеты рубятся ещё на компе :-D
Или tracetcp как то криво работает.
Вот у меня:
Когда порт на роутере не закрыт:
Tracing route to 37.235.хх.хх on port 1723
Over a maximum of 30 hops.
1 2 ms 1 ms 2 ms 10.128.5.1
2 10 ms 5 ms 4 ms 81.177.115.143
3 4 ms 7 ms 3 ms 81.177.115.142
4 3 ms 3 ms 3 ms 81.177.115.141
5 4 ms 3 ms 3 ms 10.252.255.110
6 6 ms 2 ms 6 ms 192.168.201.14
7 6 ms * 4 ms 10.198.18.5
8 4 ms 3 ms 4 ms 94.100.80.61
9 148 ms 10 ms 9 ms 94.100.84.21
10 Destination Reached in 4 ms. Connection established to 37.235.хх.хх
Trace Complete.

И когда закрыт:
Tracing route to 37.235.хх.хх on port 1723
Over a maximum of 30 hops.
1 2 ms 1 ms 1 ms 10.128.5.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.
9 * * * Request timed out.

Всё наглядно.
RealVaVa
06.04.2017
Ошибка 800 - ошибка получаемая исключительно благодаря виндовому VPN-серверу, а точнее его настройкам безопасности.
Тупое решение - это бутнуть службу RRAS (если она является сервером), ещё более тупое - бутнуть сервак. Скорее всего, с текущего IP (с домашнего) было слишком много неудачных соединений.
Православное решение - скорректировать настройки VPN-сервера. Решение разумное - не использовать в качестве VPN-сервера винду и стандартный PPTP.
Всё бы было хорошо, если бы параллельно моим неудачным попыткам люди бы не входили на ВПН "с полпинка".
"Православное решение - скорректировать настройки VPN-сервера". Если ты мне подскажешь ЧТО ИМЕННО скорректировать - с меня пинта эля в Шмеле. Для разумного решения нет средств.
RealVaVa
06.04.2017
Deathmaker писал(а)
Всё бы было хорошо, если бы параллельно моим неудачным попыткам люди бы не входили на ВПН "с полпинка".

Тут нет ничего непонятного - правила блокировки доступа работают на конкретного клиента.

Deathmaker писал(а)
Если ты мне подскажешь ЧТО ИМЕННО скорректировать ...

Я б с удовольствием бы помог, но в те времена, когда я с этим боролся ещё на 2003-й винде, нарандомил в настройках столько, что сейчас даже и не вспомню, что конкретно тогда помогло. Но затанцевался я тогда аки конь. Единственное, что внятно могу сказать, - стоит плясать от логов.
acella
06.04.2017
RealVaVa писал(а)
Тут нет ничего непонятного - правила блокировки доступа работают на конкретного клиента.

По IP или каким другим признакам ?
Я что то то же не натыкался на такое.
RealVaVa
06.04.2017
По-моему, да. В принципе, ничего другого то во время установки соединения от клиента, наверно, получить и нельзя. Честно скажу, не помню, как я это решил и что там было, ибо было давно.
Припоминается, что там нужно было ещё как-то определиться с конкретным типом шифрования. Типа, чтобы все клиенты преимущественно использовали конкретный тип, например, MS-CHAP v2. Вроде как, сервер может одновременно работать со всеми ними, но иногда его перекрывает и начинаются глюки. Может быть это делается и на стороне сервера (выбор предпочитаемого типа шифрования). Напоминаю, что мой опыт касался работы с Windows 2003 R2 Routing and remote service (RRAS), отдельной службой, а не клац-клац сервера, созданного в настройках сетевых интерфейсов (втч на любой из клиентских версий вёнд, начиная с ХРени). Как настраивать клац-клац сервер - в душе не знаю. На него, насколько мне известно, распространяются локальные политики безопасности. Но инфа тоже из разряда "бабка на двое".

З.Ы.: почитал свои посты в этой теме, больше похожи на какие-то предсказания цыганки и псведо-научный бред. Сорян, господа, но когда я столкнулся с этим, данных в интернетах было тоже 3 поста, втч на майкрософтовском форуме, где было написано на вопрос "чо делать?" что-то вроде "а хрен его знает, попробуйте пукнуть в кулачок и досчитать до 12"... и только отрывочные данные.
acella
06.04.2017
Тогда ему достаточно ребутнуть домашнюю железку, что бы заработало, думаю он это делал.
RealVaVa
06.04.2017
Если дома не статика, то можно попробовать.
Warwar
06.04.2017
всё бы ничего, но ТС написал, что у него через мобилу подключить получилось...
то есть проблема по-любому роутер и/или провайдер.
RealVaVa
06.04.2017
WAT?
А ничего, что при подключении через мобилу, IP клиента сменился? Относительно исключения провайдера, я предложил выше. А на счёт роутера - роутер, если только не настроен специальным образом, не будет блокировать соединение до удалённого сервера по РРТР ( оно обычно работает через любой NAT).
Warwar
06.04.2017
или VAT или WHAT... зависит от того, что вы хотели сказать...
сменится... дальше что?
уже ниже предложил ещё вариант - исключить роутер... подклчиться напрямую кабелем провайдера в ноут, ради теста...
RealVaVa
06.04.2017
Warwar писал(а)
или VAT или WHAT... зависит от того, что вы хотели сказать.

Я сказал то, что сказал.
Warwar писал(а)
сменится... дальше что? ...
А то, что политика блокирования доступа на стороне сервера отрабатывает, скорее всего по IP источника.
Warwar
06.04.2017
RealVaVa писал(а)
скорее всего по IP источника.

откуда дровишки? в смысле, с чего у вас такое мнение? почему не по паспортным данным?
почему фото забора не запостили? есть есть необходимость всякую ерунду писать...
RealVaVa
06.04.2017
Толсто. Сделаю вид, что ничего не заметил.

Я делаю свои выводы, исходя из пережитого некогда мной опыта исправления подобной ошибки на сервере Win 2003 R2 RRAS. На уровне политик доступа RRAS существует такое понятие как IP клиента. Клиент (по умолчанию) при подключении к серверу не передаёт паспортные данные пользователя, а вот сервер при подключении IP его определить может легко. А почему? А потому что эта информация есть в любом IP пакете (справочную информацию можно почитать, например, здесь - www.cap-design.ru/ksptp/5_3_2.htm ). Если сложить два этих факта, то вырисовывается довольно таки очевидная система первичной идентификации удалённого клиента, которая, к слову сказать, используется не только виндовыми VPN (и не только VPN) серверами.
Warwar
06.04.2017
если оставить стёб, спасибо.
я пытаюсь понять, на каком основании сервер решает, что вот этого буду банить, а вот этого не буду? чем ему может не нравиться IP провайдера домру?
за основы устройства сетевых пакетов - спасибо :-) но больше не утруждайте себя, я в курсе что там и как ходит.
идентификация по IP? а смысл? у домры ж не китайский пул адресов.
если у человека на сервере настроены конкретные acl - всё понятно... но из топика скорее следует, что их там нет.
RealVaVa
06.04.2017
Опять же ссылаясь на свой аналогичный, могу сказать, что у RRAS есть "встроенная" и далеко не самая очевидная система защиты доступа (втч от подбора паролей и пр). И в случае нескольких неудачных соединений (втч прерваных в ходе подключения), сервер блокирует внешний (какой может получить) исходящий адрес клиента (source IP), в результате чего и вылазит эта загадочная 800-я ошибка. Есть ещё семьсот какая-то (не 764), с которой я в то же время воевал, но суть примерно та же - ничего конкретного.
Warwar
06.04.2017
RealVaVa писал(а)
RRAS есть "встроенная" и далеко не самая очевидная система защиты доступа

понял, спасибо.
acella
06.04.2017
Так через мобилу, это с другова ip
Warwar
06.04.2017
дальше что? вы мысль свою можете до конца оформить?
acella
06.04.2017
Deathmaker писал(а)
У всех работает кроме... меня

Ну что же тут не понятного ?
У ТС не работает через домашний тырнет.
Кто в этом виноват - провайдер, кривой роутер, фаза луны или политики на серваке - дело десятое.
А через мобильный интернет работает, ибо другой провайдер уже.

И установить истину - политики по ip были виноваты, или NAT домры был виноват, таким образом не получится
Warwar
06.04.2017
опять не могу понять вашу мысль...
вы же не можете управлять домрой - это как данность...
даже если в настройках аккаунта отключить нат - IP уже будет другой...
но вы продолжайте... может быть когда сформулируете - сами поймёте, что хотели сказать )
RealVaVa
06.04.2017
Кстати, чтобы исключить проблему с провайдером, можно повесить сервер на другой порт. Если сам сервак с 2012-й стоит за натом, то можно просто ремапнуть порт (создать дополнительное правило). В настройках соединения на стороне клиента порт добавить, как обычно, в адрес через двоеточие.
сейчас еще смешнее. 3Г-роутер Мегафон, 2 ноута. Один влетает на ура, другой получает отлуп. Антивирей нет, порты в фаере прописал. пофиг. 800 и всё.
RealVaVa
07.04.2017
Проблема может быть именно в том, что с одного srcIP два подключения.
В любом случае, сначала курить логи.
сегодня привезу неработавший ноут домой.
кстати, а где теперь логи впновские живут?
RealVaVa
07.04.2017
Проще всего через привычную консоль всё это посмотреть
compmgmt.msc
А логи надо не на ноуте смотреть, а на серваке.
Дык я про сервак и спрашиваю, там теперь всё через жопу.
RealVaVa
08.04.2017
Стандартные консоли просто запрятали глубже. Всё управляется ровно таким же образом, как и на 2008 R2, за редким исключением (например, терминал).
kemy
06.04.2017
Отключение еа пол часа хаватает - галюн не роутера, а проовайдера
Warwar
06.04.2017
как вариант, в домре вроде можно отключить нат... попробуйте, может поможет...
vpn не всегда корректно работает из-за ната, если нат высоконагруженный...
правда, из-за высоконагруженного ната много что может не корректно работать... но это уже другая история...
ну и попробуйте подключить ноут ВМЕСТО роутера... что бы исключить его влияние...
Warwar писал(а)
можно отключить нат

я ж не сумасшедший за НАТом сидеть, нат отключен
Warwar
06.04.2017
тогда тем более - воткните в ноут шнурок и будет момент истины
по поводу сумашествия вы зря... если своего нет - очень неплохо работает в качестве своеобразного фаера... правда, если нат не ваш, то не настроить... но это не всегда нужно...
acella
06.04.2017
Warwar писал(а)
очень неплохо работает в качестве своеобразного фаера

:-D
В общем бугагашеньки :о)))
Вот что значит новый девайс, непознанный. Оказывается, в этом роутере нужно отдельно в разделе "Дополнительно" включить:
Проброс PPTP:
Проброс L2TP:
Проброс IPSec:

А в старом Линксисе всё работало "из коробки".
Всё влетает на ура :о)
acella
07.04.2017
Це про gre скорее всего
RealVaVa
07.04.2017
+1
Исходящее соединение на РРТР вряд ли бы стали умышленно зарезать по умолчанию.
Warwar
07.04.2017
Раньше сотовые операторы резали gre... Блокируя, к примеру, доступ до наземной точки входа спутниковых провайдеров... Не знаю, умышленно это было или "случайно", но факт есть факт...
7aladin
08.04.2017
Ядро линукса было тому виной. Обновились опсосы и понеслось гре.
Ну вот факт остаётся - включил галки - поехал ВПН.
RealVaVa
08.04.2017
Ставлю на совпадение. Проблема плавающая (ну у меня была) и. скорее всего, вернётся.
не работающий от свистка ноут не работает и у меня дома.
сейчас переставлю на нем систему - уверен, всё заработает
RealVaVa
08.04.2017
Тогда есть смысл посмотреть в сторону шифрования на клиенте. Оставить только одно какое-то.
Но всё же логи - наше всё.
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов
Дорого куплю новые картриджи от лазерных и струйных

РЕАЛЬНО Дорого куплю новые картриджи от лазерных и струйных принтеров и копиров (НР, Canon, Samsung, Xerox, OCE и др.) всех моделей....
Цена: 7 777 руб.

Принтер лазерный Avision AP30A

Avision AP30A лазерный принтер черно-белая печать формат A4, 33 стр/мин, 128 Мб, дуплекс, лоток 250 листов и многоцелевой лоток с...
Цена: 9 900 руб.

Продаю факс (ы) Panasonic– FT932/982

Продаю факс (ы) Panasonic– FT932/982: термоперенос, термобумага, А4
Цена: 350 руб.

Материнские платы на запчасти и не только

Материнские платы на запчасти и не только Материнские платы и другие комплектующие Отправка в регионы после оплаты. Транспортной...
Цена: 3 000 руб.