问题简述

tag-icon tag-icon vpn sonicwall windows-10
问题简述

问题简述

从 Windows 10 工作站到 PEER NSA 240 的 SonicWall Global VPN 客户端报告发生错误:

对等方未响应第 1 阶段 ISAKMP 请求。

VPN 客户端日志

The connection has been enabled.
Starting ISAKMP phase 1 negotiation.
An error occured.
The peer is not responding to phase 1 ISAKMP requests.
Starting ISAKMP phase 1 negotiation.
etc...

测试环境

从今天起,该问题仅局限于 Windows 10 工作站。故障发生前未对 NSA 对等端进行任何更改。

Yesterday 19/11/15 all OS nodes:
- 3 x windows 10
- 4 x windows 8.1
- 6 x windows 7 
Connected without exception.

Today 20/11/15 
- 3 x windows 10 fails with exception above.
- 4 x windows 8.1 operational
- 6 x windows 7 operational

请注意,此异常是在输入用户凭据之前以及在输入预共享密钥之前的新安装中生成的。

尝试修复

  • 升级至最新 NSA 240 固件
  • 部署最新版本的 Global VPN 客户端
  • 将 NSA WAN MTU 设置为 1450(原为 1500)
  • 允许数据包分段
  • 在客户端上禁用窗口防火墙
  • 在客户端上禁用 Windows Defender
  • 检查 Windows 更新之前/之后是否失败(自 19 日以来,Defender 定义仅发生变化)
  • 经过多位用户测试
  • 卸载 VPN 客户端
  • 运行 GVC Cleaner 工具(从注册表中完全删除客户端)
  • 已确认在 10 上使用的客户端凭据可在 Windows 8.1 上运行
  • 报告异常的 3 个 Windows 10 客户端在家庭位置的独立网络上完全隔离,具有唯一的客户端凭据,其中 2 个共享相同的 ADSL 交换机但不同的 ISP。1 个在唯一的交换机上。
  • 运行 Windows 8.1 的笔记本电脑插入与 Windows 10 客户端连接的同一交换机。排除客户端和对等端之间的任何硬件设置。
  • 还将在 Windows 10 主机上尝试使用 Win 7 VM(尚未部署)。非常确定它将可以运行。
  • 通常每次测试时都会重新启动。

99.9%确定这是 Windows 10 的问题。

版本信息

Dell SonicWall NSA 240 running:
- firmware version Sonic OS Enhanced 5.9.1.1-390
- Safemode verison 5.0.1.11
- ROM version 5.0.2.7


Client Global VPN Client version is:
- GVCSetup64 4.9.9.1016.


Windows 10 version:
- pro 64-bit (10.0, build 10240)

没有主意了。

谢谢

斯科特

编辑于 25/01/26

答:从新的 Windows 10 笔记本电脑

  • 连接到我的 VPN 终端网络外部的新 WIFI 网络 (WIFI X)。供参考,ISP 是 BT。独立的 ADSL 线路。
  • 下载并部署 GVPN Clinet 4.9.9.1016。
  • 输入预共享密钥
  • 已输入用户凭证。已连接。

这是Windows 10第一次成功连接。

B:从同一台 Windows 10 笔记本电脑:

  • 已断开 VPN。
  • 断开WIFI
  • 连接到另一个外部 WIFI 网络(WIFI Y)。同样,BT 是 ISP,独立的 ADSL 线路,注意这不是与 WIFI X 相同的 ADSL 线路。
  • 尝试 VPN 连接。
  • 对等方未响应第 1 阶段 ISAKMP 请求。

这似乎表明在全新安装的 Windows 10 中初始 VPN 连接成功。

C:从同一台 Windows 10 笔记本电脑:

  • 断开 WIFI Y
  • 连接到 WIFI X。
  • 连接到 VPN 端点。
  • 传递用户凭证。
  • 连接成功。

所以问题是为什么。请注意,所有其他 Windows 10 客户端仍然会像原始帖子中所述那样失败。

需要注意的一点是,所有成功的客户端连接(无论是 7、8 还是 10)都报告starting aggressive mode Phase1 exchange。我应该指出 VPN 终端位于 NAT 设备后面。在 Windows 10 之前,这一直不是问题。此设备当前启用了以下支持:

  • PPTP 直通
  • IPSec 直通
  • 多播直通
  • 端口转发 500 UDP
  • 端口转发 4500 UDP

今天感觉离解决这个问题又近了一步。在部署专线的过程中。我想部署新的 SonicWall NSA 硬件,在这种情况下 VPN 将终止于托管外部 IP 的设备上(即无 NAT)。怀疑这会解决我的 Windows 10 客户端问题。

额外测试

  • 此外,所有端口 1-65534 TCP/UDP 都已转发到 VPN 终端端点进行测试。

  • 从测试笔记本电脑中删除了防病毒软件。

  • 尝试更改笔记本电脑上的协议绑定顺序并重新启动,但没有帮助。想法是 Windows 10 在安全性/绑定方面处理方式不同,因此查看其他用户在通信方面遇到的一般问题。 参考

谢谢。斯科特

答案1

看来这个问题在过去几天里已经通过 Windows 10 更新自行解决了。目前我还不知道具体是什么更新,但如果有更新,我会发布更多信息。

编辑以添加我可以明确确认我们的 NSA 防火墙或 VPN 适配器软件没有做出任何更改,这可能会导致 Windows 10 IPsec VPN 功能再次开始运行。

谢谢

斯科特

编辑后添加了涵盖不可操作和可操作之间时间段的 Windows 10 更新历史记录链接。

2016 年 3 月 8 日 - KB3140768(操作系统内部版本 10586.164)

此更新包括质量改进和安全修复。此更新未引入任何新的操作系统功能。主要变化包括:

  • 改进了对蓝牙、可穿戴设备和应用程序访问联系人的支持。

  • 提高了应用程序安装和讲述人的可靠性。

  • 提高了休眠、应用程序内容输入以及下载和安装更新的性能。

  • 修复了无法从运行 Windows 10 的 PC 登录 Xbox 的问题。

  • 修复了尝试播放损坏内容时产生的安全问题。

  • 修复了在 Microsoft Edge 中查看 PDF 时可能允许远程代码执行的安全问题。

  • 修复了 .NET Framework、Internet Explorer 11 和网络的其他问题。

  • 修复了 Microsoft Edge、Internet Explorer 11、USB 存储驱动程序、内核模式驱动程序、.NET Framework、图形字体、OLE、二次登录、PDF 库和 Adob​​e Flash Player 的其他安全问题。

有关此更新中的安全修复程序的更多信息以及受影响文件的完整列表,请参阅KB3140768

2016 年 3 月 1 日 - KB3140743(操作系统内部版本 10586.122)

此更新包含质量改进。此更新未引入任何新的操作系统功能或安全修复。主要变化包括:

  • 许多领域的可靠性都有所提高,包括操作系统和 Windows 更新安装、启动、首次安装和配置 Windows、身份验证、从休眠状态恢复、关机、内核、开始菜单、存储、Windows Hello、显示模式、Miracast、AppLocker、Internet Explorer 11、Microsoft Edge 浏览器、网络连接和发现以及文件资源管理器。

  • 提高了视频缩略图生成、NetLogon、Windows Store 和待机功耗的性能。

  • 改进了对一些可穿戴设备、显示器和打印机场景等设备的支持。

  • 当注册表设置被删除或损坏时重置应用程序默认值,并简化有关损坏的通知。

  • 修复了安装更新后导致收藏夹丢失的问题。

  • 修复了可能导致某些应用无法启动、更新或允许应用内购买的几个问题。

  • 提高了 Cortana 语音的质量以及 Internet Explorer 对话框的多种语言翻译。

  • 改进了对应用程序、字体、图形和显示、飞行模式、组策略、PowerShell、MDM、Windows Journal、Microsoft Edge、打印、触摸显示、漫游凭据、按钮重置、Windows UX、本地和流视频、音频质量、错误报告、USMT 和 VHD 创建的支持。

有关受影响文件的完整列表,请参阅KB3140743

2016 年 2 月 9 日 - KB3135174(操作系统内部版本 10240.16683)

此更新包括质量改进和安全修复。本月不会推出任何新的操作系统功能。此更新中的关键更改包括:

  • 改进了更新的安装时间。

  • 解决了使用 InPrivate 浏览时 Microsoft Edge 浏览器缓存访问过的 URL 的问题。

  • 提高了 Silverlight 性能。

  • 修复了不允许 Windows 10 PC 远程配置服务器的问题。

  • 修复了 Windows Journal 中图片和表格无法显示的问题。

  • 修复了恶意软件在目标系统上运行时可能允许远程代码执行的安全问题。

  • 修复了 Microsoft Edge 和 Internet Explorer 11 中的安全问题,该问题可能允许恶意网站的代码在设备上安装和运行。

  • 修复了输入法编辑器 (IME)、直接访问、分配访问、外围设备检测、条形码扫描、Windows 资源管理器、Internet Explorer 11、Microsoft Edge 和脚本的其他问题。

  • 修复了 .NET Framework、PDF 库、Windows Journal、内核模式驱动程序、远程桌面和 WebDAV 的其他安全问题。

有关此更新中的安全修复程序的更多信息以及受影响文件的完整列表,请参阅KB3135174

即它是这些更新之一,但目前我无法进一步隔离它,抱歉。

答案2

此错误通常是由于 UDP 数据包在初始握手期间被分割而导致的。SonicWall 现在有一个解决方法。

进入客户端的“属性”菜单,然后启用“限制发送的第一个 ISAKMP 数据包的大小”。 (此选项在客户端版本 4.9.14 及以上版本中可用)。

相关内容