VPN

[SliderNet]

Кто нибудь сталивался с такой проблемой: VPN по PPTP схлопывается через 120 секунд без всяких ошибок в логах! Выглядит это так, ровно через 120 секунд пропадает пинг, а потом через секунд 30, отваливается сам канал. Сервак на w2k server SP4 (адсл оптима). Работает давно и без проблем. Всё настроена правильно. Проблема проявилась при попытке подключения из сети Укртелекома (Днепродзержинск) и через Оптимовский АДСЛ находящийся в соседнем здании. Из других точек города проблем с подключением нет. Уже три дня ковыряюсь, перепробовал всё. Разные платформы (железо), разные операционки, эффект - время падения VPN плавает 115-125 секунд. Переход на L2TP проблему не решил. Домена нет. Отключение шифрования проблему не решило. Какие есть мИсли? А то уже поступило предложение "Позвать батюшку"...

PS: Обряд "изгнания виндовса" не предлагать...
PPS: Все модемы DLINK 2500U в режиме роут.

[Gobzavr]

И сразу мысль: MTU сколько?

[SliderNet]

В модемах 1400... Хотя почему время падения 120 секунд? Если бы время плавало, я бы ещё понял. И момент в том что из сети А в сеть Б строим без проблем, а вот из Б в А вешеописаный результат...

PS: Другие филиалы полключаются без проблем на этот сервер. Все каналообразующие сервера проинсталины с одного и того же диска, т.е. ревижн винды один. Пробовал строить с рабочих станций. Есть мысль что трабла в оптимовском канале... Сам канал работает устойчиво, обрывы крайне редки, падает именно VPN при идеальном канале. Пинг 50 милисекунд максимум.

[Hedgehog in the fog]

Стоило бы посмотреть, что покажет wireshark в трейсах. Исходной информации очень не много. Снять сможете? И, желателько, конечно с ciphering off

[SliderNet]

Стоило бы посмотреть, что покажет wireshark в трейсах. Исходной информации очень не много. Снять сможете? И, желателько, конечно с ciphering off

Завтра попробую...

[Chatter]

Батюшка говорит: "мопеды - в бридж. юзать керио впн замест некрософт. Аминь"

[Gobzavr]

Хотя почему время падения 120 секунд?

Ну мысль такая что проходит соединение. По размеру пакета влазает в МТУ. А потом кип_элив отдается\принимается. Он и не влазает (хотя странно это). Или зарубается гдето. Или еще чтото. Как раз на 120 секунд приходится.
Кип_элива нету - до свидание соединение

Попробуйте пингануть удаленный хост пакетом с размером MTU-1

Батюшка говорит: "мопеды - в бридж. юзать керио впн замест некрософт. Аминь"

Идею поддерживаю, но варез же

[Hedgehog in the fog]

Завтра попробую...

Результат трейсов затем в паблик - только изначально всю конфиденциальную информацию вырезать. А то, когда-то, Gobzavr трейсы с данными для авторизации к web sms app выложил.
P.S. У меня используется VPN на оборудовании Cisco, так эта гадость - Cisco Vpn client после установки портила tcp/ip stack, только с третьей попытки получилось установить с применением костылей. А под unix Cisco не соизволила реализовать работу с персональными сертификатами. Не похоже на них...

[Gobzavr]

А то, когда-то, Gobzavr трейсы с данными для авторизации к web sms app выложил.

Та собственно секретного там не было особо чего... пароль в открытом виде (привет кодерам, что писали это чудо), который каждые два дня и так меняют, но спасибо что подметили.

[SliderNet]

Ну мысль такая что проходит соединение. По размеру пакета влазает в МТУ. А потом кип_элив отдается\принимается. Он и не влазает (хотя странно это). Или зарубается гдето. Или еще чтото. Как раз на 120 секунд приходится.
Кип_элива нету - до свидание соединение

Попробуйте пингануть удаленный хост пакетом с размером MTU-1

Идею поддерживаю, но варез же

Вот и я говрю что странно, сегодня урежу MTU на соединении до 500. Странно что одни конектятся с пингом 300, а тут пинг 30-50. Теребил Оптиму, люди клянутся что всё прозрачно. Но такое ощущение что проблема локальная (верх поспекта Петровского).

[kliya]

Блин, то же самое с эксфлойтом.
Пока сидела на сдс - все прекрасно - впн хоть сутками.
Как перешла на эксфлойт - невозможно работать (((

[SliderNet]

Вот лог:

[Hedgehog in the fog]

Вот лог:

В pcap дайте. Со всеми уровнями, и без шифрования.

[Hedgehog in the fog]

Да, еще забыл - уберите в Edit->Preferences->Protocols->Tcp галочку с validate the tcp checksum if possible

[SliderNet]

Вот. Измените расширение на pcap

[Hedgehog in the fog]

Явно ненормальная ситуация, все заканчивается на Termination Request, а никакого подтверждения и нет (Termination-Ack)
В нормальной ситуации, разрыв соединения подтверждается аком второй стороны, и реквесты должны идти до тех пор, пока не придет подтверждение:

Пример:

Ethernet II, Src: 20:53:45:4e:44:0d, Dst: 20:53:45:4e:44:0d
PPP Link Control Protocol
Code: Termination Request (0x05)
Identifier: 0x03
Length: 4

----------------

Ethernet II, Src: 20:52:45:43:56:00, Dst: 20:52:45:43:56:00
PPP Link Control Protocol
Code: Termination Ack (0x06)
Identifier: 0x03
Length: 4

[SliderNet]

Явно ненормальная ситуация, все заканчивается на Termination Request, а никакого подтверждения и нет (Termination-Ack)
В нормальной ситуации, разрыв соединения подтверждается аком, со стороны сервера, и реквесты должны идти до тех пор, пока не придет подтверждение:

Пример:

Ethernet II, Src: 20:53:45:4e:44:0d, Dst: 20:53:45:4e:44:0d
PPP Link Control Protocol
Code: Termination Request (0x05)
Identifier: 0x03
Length: 4

----------------

Ethernet II, Src: 20:52:45:43:56:00, Dst: 20:52:45:43:56:00
PPP Link Control Protocol
Code: Termination Ack (0x06)
Identifier: 0x03
Length: 4

Я обратил на это внимание, вот и думаю где собака порылась...
PS: Но это уже когда VPN отвалилась, а пинг пропал раньше...

[Hedgehog in the fog]

Стоп, не обратил внимание на транспортный уровень - перед разрывом по icmp перестают преходить реплай с 192.168.1.2 от того и подтверждения нет, потому, что канал уже разорван. По какой причине - хз.
Я думаю, что на то могут быть такие причины:
1)Вторая сторона в течении 120 секунд, после установки соединения не получает кипэлив и рвет канал. (Думаю, что в таком случае все происходит без резет реквест-ак)
2)Какие-то проблемы провайдера на (канальном, сетевом, транспортном) - возможно конфигурации оборудования, либо еще что-то

[SliderNet]

Стоп, не обратил внимание на транспортный уровень - перед разрывом по icmp перестают преходить реплай с 192.168.1.2 от того и подтверждения нет, потому, что канал уже разорван. По какой причине - хз.
Я думаю, что на то могут быть такие причины:
1)Вторая сторона в течении 120 секунд, после установки соединения не получает кипэлив и рвет канал. (Думаю, что в таком случае все происходит без резет реквест-ак)
2)Какие-то проблемы провайдера на (канальном, сетевом, транспортном) - возможно конфигурации оборудования, либо еще что-то

Это было понятно сразу... Время кстати плавает, в зависимости от того какой пинг, но не более 190 секунд... Буду сношать Оптиму...

[Hedgehog in the fog]

Кстати, может стоит снять трейсы физического сетевого интерфейса? Не виртуальный, который создается после установки VPN соединения, потому, что - тут кроме как LCP ничего и не увидишь.