我有一个客户端(Server 2008 R2),它无法连接到我们的生产环境 PPTP VPN 服务器(Server 2003,运行 RRAS)。
服务器位于防火墙后面,防火墙打开了 TCP1723 和 GRE。我们办公室的其他客户端可以正常连接。我们的办公室位于 Juniper SSG5-Serial 防火墙后面,但允许所有传出流量,并且多个其他客户端可以毫无问题地连接到 VPN 服务器。
我还在办公室外的另一个网络上设置了一个完全不同的 VPN 服务器。运行正常的客户端连接正常 - Server 2008 R2 计算机却无法连接。因此,这肯定是这台计算机的问题。
我重启了电脑,禁用了防火墙,但还是没用。
我已经在服务器/客户端上运行了 PPTPSRV 和 PPTPCLNT,它们能够完美地通信 - 表明使用 TCP1723 和 GRE 都没有问题。
Server 2008 R2 计算机本身也作为 VPN 服务器运行(传入连接),并且运行正常。无论是否有活动的传入连接,我们都会遇到问题。
我不确定下一步的调试步骤是什么;有什么建议吗?
编辑:服务器上的事件日志有来自 RasMan 的以下警告:
A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been
established, but the VPN connection cannot be completed. The most common cause
for this is that a firewall or router between the VPN server and the VPN client
is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47).
Verify that the firewalls and routers between your VPN server and the Internet allow
GRE packets. Make sure the firewalls and routers on the user's network are also
configured to allow GRE packets. If the problem persists, have the user contact
the Internet service provider (ISP) to determine whether the ISP might be blocking
GRE packets.
显然,这表明 GRE 是一个潜在问题。但是,由于我拥有其他客户端,连接没有问题,而且 PPTPSRV 和 PPTPCLNT 能够通信,我怀疑这可能是一个转移注意力的借口。
编辑:以下是客户端按时间顺序记录的匿名事件:
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has started dialing a VPN connection using a per-user connection profile named ZZZ. The connection settings are:
Dial-in User = XXX\YYY
VpnStrategy = PPTP
DataEncryption = Require
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = CHAP/MS-CHAPv2
Ipv4DefaultGateway = No
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = Register primary domain suffix
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY is trying to establish a link to the Remote Access Server for the connection named ZZZ using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has successfully established a link to the Remote Access Server using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The link to the Remote Access Server has been established by user XXX\YYY.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY dialed a connection named ZZZ which has failed. The error code returned on failure is 806.
在客户端上运行 Wireshark 显示它正在尝试并重试发送“71 配置请求”
虽然服务器显示了传入的客户端请求,但显然没有回复:
鉴于这是 GRE 流量,我认为排除了 GRE 流量被阻止的可能性。问题是,为什么服务器不回复?
这是服务器从不起作用的客户端接收的配置请求(意味着没有向客户端请求发送任何响应):
这是服务器从工作客户端接收的配置请求:
对我来说,它们看起来完全相同,除了密钥和魔法数字不同,以及一个客户端收到响应而另一个客户端没有收到响应的事实。
答案1
认为 ISP 或其他远程问题是正确的。我们在远程工作的员工中多次看到这种情况。远程站点的 ISP 或 IT 部门会阻止 VPN 流量。
还发现一些家用路由器无法正确允许 PPTP。我们直接连接并测试,结果指向 ISP 或家用硬件