[решено] Пропадает связь VPN - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)

- - [решено] Пропадает связь VPN (http://forum.oszone.net/showthread.php?t=206956)

Пропадает связь VPN

Есть 2 удаленных сервера (шлюза). На обоих установлен и настроен Kerio Winroute Firewall 7.0. Каждый из серверов является шлюзом в своей сети.

Сервер номер 1 (win 2003 standart):
192.168.1.0 / 24 - локальная сеть 1
192.168.2.0 / 24 - Подключение к adsl
192.168.4.0 / 24 - VPN-сервер

Сервер номер 2 (win 2003 standart):
10.10.1.0 / 24 - локальная сеть 1
192.168.3.0 / 24 - Подключение к adsl
10.10.4.0 / 24 - VPN-сервер.

Сервер номер 1 - главный. Через него подключаются удаленные VPN клиенты.
Между серверами 1 и 2 настроен VPN туннель. Все настроено. Все работает как положено.

Проблема:
Время от времени пропадает именно связь (раз в несколько дней).
VPN-Клиенты подключаются, но пинг не идет.
Статус VPN туннеля - "подключено", но пинги не идут.
Реальной связи нет.
Внешние ADSL IP - статические.

Помогает в решении проблемы перезагрузка сервера номер 1. Иногда - сервера номер 2. В чем может быть проблема? Куда копать?

Любую дополнительную инфу предоставлю.

Решение внизу страницы

Martia, не совсем понятно что значит "VPN-Клиенты подключаются, но пинг не идет. Статус шлюза - подключено. Пинги не идут. Реальной связи нет."
Напишите как Вы это диагностируете, желательно с выводом команд типа ipconfig, tracert, ping, route print.
Подозреваю, что VPN-клиент не пингует локальную сеть?... тогда покажите с клиента ipconfig /all, ping public-ip-vpn-server, ping public-ip-vpn-server -l 1500, tracert -d public-ip-vpn-server, route print; при этом проверьте (в консоли Kerio), что VPN-сервер реально видит подключившего клиента.

Кстати, что за adsl-модемы Вы используете? Пробовали их перезагружать?
Зачем на втором сервере диапазон адресов под VPN, если клиенты подключаются только к первому? Или Вы не используете site-to-site?

1. У удаленных клиентов установлен Kerio VPN Client. Удаленный клиент подключается к серверу (у удаленного клиента появляется сообщение "Соединение установлено успешно"). На сервере, в Kerio Control в списке "Активные хосты" также появляется данный VPN клиент. Ему назначается IP адрес. С сервера данный IP не пингуется. С удаленного клиента также сервер (и вся сеть, которая стоит за сервером) не пингуется. Но это внештатная ситуация. На данный момент все отлично пингуется.
ipconfig /all не меняется в зависимости от того есть ping с клиента или нет
ответ на ping Превышен интервал ожидания для запроса. вне зависимости от того каков размер буфера отправки и время ожидания ответа.
tracert пытается достучаться куда-то, но постоянно рисует звезды с самого первого хоста. Полагаю, что роуты также прописаны правильно, так как tracert не лезет на модем, потом на dns провайдера. Клиент "считает", что он подключен напрямую к сети.
Все запрашиваемые команды приведу, как только следующий раз упадет связь.

2. Модемы - zte zxv10 w300 (Промсвязь М-200А). Обычно в перезагрузке модемов нет никакой необходимости. Но вчера (первый раз такое было) без перезагрузки модема связь не поднималась (обычной перезагрузки сервера было недостаточно).

3. Между серверами 1 и 2 настроен VPN туннель (site-to-site). Сервер номер 2 - шлюз второй подсети.

P.S. Статус шлюза - подключено. - это я некорректно выразился. Статус VPN-туннеля - "подключено". Но связи между сетями нет.

Цитата:

Цитата Martia

tracert пытается достучаться куда-то, но постоянно рисует звезды с самого первого хоста. »

Проверьте tracert на публичный адрес Kerio сервера (т.е. куда подключаются клиенты) - для него по любому должен остаться маршрут через сеть провайдера. А если tracert показывает, что все идут внутрь туннеля, то это как-то неправильно - внутрь туннеля должен заворачиваться трафик, которые предназначен только для внутренних сетей (которые в локалке видит Kerio сервер).

Цитата:

Цитата Martia

3. Между серверами 1 и 2 настроен VPN туннель (site-to-site). Сервер номер 2 - шлюз второй подсети. »

Не совсем понял: когда отваливаются клинеты - site-to-site тоже перестает работать? Если так - то нужно исключить проблему доступа в Инет обоих серверов.

Кстати, перезагрузка сервера помогает... а помогает ли перезапуск служб Kerio?

PS: модемы что-то сильно уж дешевые и бюджетные - подумайте для теста поставить что-нибудь типа zyxel.

Вот. Первый случай за 5 дней, когда связь опять отвалилась.

Про сервер:
DNS имя: kerio
IP адрес в сети VPN: 192.168.4.1
IP адрес в локальной сети: 192.168.1.1

ipconfig /all

tracert VPN-сервер

Пинги:

route print

При этом, сервер видит, что клиент подключен. Клиент тоже видит сервер:

Забыл проверить tracert и ping к внешнему ip сервера. В следующий раз обязательно сделаю.
VPN-туннель остался работоспособным.
Перезагрузка модема не решила проблему. Полноценное соединение восстановилось после перезагрузки сервера.

Решение нашёл для себя следующее:

Автоматическое переподключение на стороне клиента (перезапуск службы Kerio на клиенте).
Принцип:
Создаем службу, которая будет автоматически запускаться и постоянно пинговать сеть за шлюзом. При пропадании сети служба будет перезагружать службу Kerio.
Алгоритм:
1. Пингуем компьютер, который находится в сети за шлюзом. Или сам шлюз. Продолжаем пинговать, пока не перестанет пинговаться (пока пингуется - связь есть - нормальный рабочий режим).
2. Как только пропадает пинг, пингуем ip в сети Internet (например 8.8.8.8) - проверить не пропал ли сам Интернет.
Если сеть не пингуется, а 8.8.8.8 пингуется => пропало соединение.
3. Перезапускаем службу керио.
4. Делаем задержку для повторного подключения и возвращаемся к пункту 1.

Назначение файлов.
srvany.exe и instsrv.exe - для создания службы. Я придумал так, но антивирусы могут ругаться на эти файлы.

В прикрепленном файле есть всё, что бы автоматизировать перезапуск при пропадании связи.

Martia, 3 года решал проблему?)