PPTP 连接失败,错误为 800/806
Mar*_*sen 6 firewall pptp connection windows-server-2008-r2 gre
我有一个客户端(Server 2008 R2)无法连接到我们的生产环境 PPTP VPN 服务器(Server 2003,运行 RRAS)。
服务器位于打开 TCP1723 和 GRE 的防火墙后面。我们办公室的其他客户能够正常连接。我们的办公室位于瞻博网络 SSG5-Serial 防火墙后面,但允许所有传出流量,并且多个其他客户端能够毫无问题地连接到 VPN 服务器。
我还在办公室外的另一个网络上设置了一个完全不同的 VPN 服务器。正常运行的客户端连接得很好 - Server 2008 R2 机器没有。因此,这绝对是这台机器的问题。
我已经重新启动了。我已经禁用了防火墙,两者都没有。
我已经在服务器/客户端上运行了 PPTPSRV 和 PPTPCLNT,它们能够完美地进行通信 - 表明使用 TCP1723 和 GRE 都没有问题。
Server 2008 R2 机器本身也作为 VPN 服务器运行(传入连接),并且运行良好。无论是否有活动的传入连接,我们都会遇到问题。
我不确定我的下一个调试步骤是什么;有什么建议?
编辑:服务器上的事件日志有来自 RasMan 的以下警告:
A connection between the VPN server and the VPN client xxx.xxx.xxx.xxx has been
established, but the VPN connection cannot be completed. The most common cause
for this is that a firewall or router between the VPN server and the VPN client
is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47).
Verify that the firewalls and routers between your VPN server and the Internet allow
GRE packets. Make sure the firewalls and routers on the user's network are also
configured to allow GRE packets. If the problem persists, have the user contact
the Internet service provider (ISP) to determine whether the ISP might be blocking
GRE packets.
显然,这表明 GRE 是一个潜在的问题。但是看到我有其他客户端连接没有问题,以及 PPTPSRV 和 PPTPCLNT 能够通信,我怀疑这可能是一个红鲱鱼。
编辑:以下是客户端按时间顺序记录的匿名事件:
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has started dialing a VPN connection using a per-user connection profile named ZZZ. The connection settings are:
Dial-in User = XXX\YYY
VpnStrategy = PPTP
DataEncryption = Require
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = CHAP/MS-CHAPv2
Ipv4DefaultGateway = No
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = Register primary domain suffix
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY is trying to establish a link to the Remote Access Server for the connection named ZZZ using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY has successfully established a link to the Remote Access Server using the following device:
Server address/Phone Number = XXX.YYY.ZZZ.KKK
Device = WAN Miniport (PPTP)
Port = VPN3-4
MediaType = VPN.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The link to the Remote Access Server has been established by user XXX\YYY.
CoId={742CB15C-A7E0-47B7-8240-0EFA1139CBD9}: The user XXX\YYY dialed a connection named ZZZ which has failed. The error code returned on failure is 806.
在客户端上运行 Wireshark 显示它正在尝试并重试发送“71 配置请求”
虽然服务器显示传入的客户端请求,但显然没有回复:
鉴于这是 GRE 流量,我认为排除 GRE 流量被阻止。问题是,为什么服务器不回复?
这是服务器从非功能客户端接收的配置请求(意味着没有响应发送到客户端请求):
这是服务器从工作客户端收到的配置请求:
对我来说,它们看起来完全相同,除了不同的键和幻数,以及一个客户端收到响应而另一个没有收到响应的事实。
认为 ISP 或其他远程问题是正确的。我们在远程工作的员工中多次看到过这种情况。远程站点的 ISP 或 IT 部门会阻止 VPN 流量。
还发现一些家庭路由器无法正确允许 PPTP 的问题。我们直接连接并测试,然后指向 ISP 或家庭硬件
| 归档时间: |
|
| 查看次数: |
13617 次 |
| 最近记录: |