Potíže s VPN PPTP / Nápověda?

Před několika týdny jsem převzal roli systémového správce v práci (takže jsem se nezúčastnil žádného nastavení VPN). A moje znalosti VPN jsou minimální… Proto hledám nějakou pomoc…

My běží Routing a vzdálený přístup na serveru 2012. Mám jednoho uživatele, který se nedokáže připojit z domova. Ale jinak to vypadá, že to funguje. Už jsme volali jeho ISP (Spectrum) a řekli nám, že VPN nemají (a konkrétně port 1723) blokovaný. Stále si myslím, že je to něco s nimi nebo jejich hardwarem (Sagecom F@st 5260 Router), ale musím to potvrdit / zjistit, jak to dokázat…

Podle záznamů RAS se zdá, že došlo k vypršení časového limitu při autentifikaci s touto chybou v protokolu:

<Odeslaný paket PPP v 01/10/2020 19:13:34:485
<Protokol = LCP, Typ = Configure-Req, Délka = 0x36, Id = 0x7, Port = 129
Funkce InsertInTimerQ volá portid=152,Id=7,Protokol=c021,Typ=0,fAuth=0,Timeout=3
Přijato timeoutové události pro portid=152,Id=7,Protokol=c021,fAuth=0

Nemyslím si, že je to problém s konfigurací na jeho PC, protože to fungovalo na jiném místě včera. Také jsem vypnul místní firewall. Uživatel má Windows 10 Pro, nejnovější aktualizace.

Nemyslím si, že je to problém s uživatelským účtem, protože to fungovalo včera (heslo se nezměnilo) a zkoušel jsem to i s mým účtem a také selhává.

Nemyslím si, že je to náš VPN server, protože jiní (včetně mě přes hotspot) se k němu připojí v pohodě. Ale restartoval jsem služby VPN RAS, jen pro jistotu.

Any nápady, jak přesně určit, co by to mohlo být? Na základě mých čtení používá protokol GRE na portu 47 a PPTP na portu 1723. Nenašel jsem žádná nastavení v routeru, která by povolila nebo zakázala odchozí provoz na těchto portech. Také jsem nenašel nic jiného v logách, co by naznačovalo problém (může se stát, že jsem přehlédl).

Jakákoli pomoc by byla vítána! V pondělí s ním to znovu proberu, takže bych chtěl mít něco, na čem bych mohl otestovat.

Díky,

Albert

Uprava: přidal OS klienta.

Nastavte rezervaci MAC adresy (pokud je to možné) na jeho DHCP serveru na routeru, aby dostal statickou IP adresu doma, a poté přesuňte port 1723 na tuto konkrétní IP adresu. Stejně tak jsem musel udělat na svém routeru doma.

Nechte je restartovat VŠE doma. VPN Passthrough může být deaktivován, toto je obecný problém blokování VPN u spotřebitelského vybavení. Připojte se přímo k routeru také.

Pokud to nepomůže, řekněte uživateli, že může zkusit nový router, bude třeba spolupracovat s ISP nebo změnit ISP.

Máme požadavky na VPN, které žádný člověk nečte. Je to výslovně uvedeno v jednoduché angličtině, že věnujeme rozumnou dobu na řešení takovýchto problémů, tj. nebudeme se příliš namáhat. Jsou poměrně jednoduché na diagnostiku. I u VIP, pokud to nebude fungovat, nebude to fungovat. Můžete zkusit nastavit SSTP a uvidíte, jestli to způsobí stejný problém.

PPTP používá TCP port 1723 pro zahájení tunelu. To obvykle funguje. Ale pak začíná zbytek provozu proudit přes protokol GRE, který není pouze port, je to samostatný protokol. GRE musí být explicitně podporován na každém routeru na cestě. Protože GRE je stará a nezabezpečená technologie, je na některých routerech nebo od některých ISP deaktivována.

Takže otázka je, zda mají aktivovanou podporu GRE?

Proč nezkusit také L2TP a SSTP? RRAS se nestará, jestli běží jeden, dva nebo tři VPN protokoly a dává uživatelům alternativy, pokud kterýkoli z nich nefunguje správně.

Prosím, přestaňte používat PPTP VPN!
Je to velice stará a velmi nezabezpečená platforma.

Pokud máte RRAS server, mělo by být snadné spustit SSTP VPN na téže platformě.
L2TP by měl být také jednoduchý, pokud narazíte na SSTP VPN. (ale pouze jako dočasné řešení).

Doporučuji v budoucnu úplně jinou volbu, až to vyřešíte.

Zajímavé! Dobře, zkusím na to jít. Díky!

To je zajímavé… Díky za náhled. Podívám se na to znovu.

Díky. Dobrá poznámka.

Musím se na to podívat hlouběji. Může být, že už běží. Nejsem na to ještě dost znalý s RRAS!

Díky za upozornění. Podívám se také na další dostupné možnosti. Je to pro mě nové. Jediná VPN, kterou jsem nastavoval, je OpenVPN na Raspberry Pi doma. Podívám se na SSTP a L2TP jako alternativy. Nejsem si jistý, jestli již byly nastaveny. S RRAS jsem se setkal teprve před pár týdny.