我在为一家公司做一些工作,需要使用他们的 VPN。但是我遇到了问题,相当奇怪的问题。
该公司的 VPN 配置和客户端软件可通过 https 上的 domain.com:10443 获得(其他几项服务可在其他端口上使用 - 但这些都没有问题)。
如果我使用任何一台 Win10 PC 通过本地 LAN 连接到域的端口 10443,则连接会超时。(这在浏览器中以及使用 curl 或 telnet 时都会发生)。其他端口上的任何服务都可以访问。
如果我不使用 Win10,而是使用通过本地 LAN 连接的 MacOS、Linux、iPhoneOS 或 Android,则到端口 10443 的连接会立即打开,并且可以建立 VPN 连接。
而且,如果我将我的 Win10 PC 移动到另一个网络,例如我的邻居或将我的手机数据共享为热点,他们可以轻松访问该端口。:-/ 当操作系统提示时,所有连接的网络都被选为私有网络。
我觉得 Windows 中肯定存在某种阻止,于是我检查了防火墙,甚至禁用了防火墙,我还在端口 10443 上安装并测试了一个测试服务器,还用外部http://portquiz.net:10443/但在任何情况下我都没有发现任何障碍。
我也尝试过使用 IP 而不是 DNS 名称,但这也没有改变任何东西。
我开始认为问题可能不完全在我这边。
我猜测 Win10 实例必须在标头中发送其他实例不会发送的内容,或者相反,然后 VPN 服务器根据标头中的某些内容选择忽略我的请求,但我非常愿意接受其他建议。
关于如何调试这个问题有什么建议吗?
提前致谢。
答案1
为了进一步调试:
我最终设置了 Wireshark,以使用 ssh 数据包监控捕获我的 Ubiquity 安全网关上的 WAN 和 LAN 流量(注意,在 Windows 上安装 Wireshark 时必须与 Cisco 支持一起选择。)
调试显示 domain.com:10443 确实向我网络上所有计算机的请求发送了响应,但如果转到 Windows 计算机,该响应会由于未知原因在 USG 中消失。
此时我联系了 Ubiquity Support,希望他们能帮我找出问题的根本原因。他们没有找到解决方案,直到我偶然找到了解决办法。
最终修复方法如下:
巧合的是,我发现我的 ISP 在我的 WAN 连接上设置了错误的 IP(不是我的公共 IP),而且他们还打开了 NAT。纠正这个问题后,USG 就不再过滤对 Windows 计算机的响应。