Ich habe einen Server 2008 R2-Rechner hinter einem Ubiquiti EdgeMAX-Router. Der Router wurde als NAT konfiguriert und der gesamte GRE-Verkehr zusammen mit dem TCP-Steuerport (1723) wurde an den internen RRAS-Server weitergeleitet.
Zuvor hatte ich dasselbe Setup mit einem Cisco 2621-Router mit identischem NAT/Firewall-Setup. Ich hatte mit diesem Setup keine Probleme.
Mit dem Ubiquiti-Gerät kann ich einen Remote-Client problemlos mit dem VPN-Server verbinden, bis der Client Datendurchsatz im GRE-Tunnel verliert und schließlich eine Zeitüberschreitung auftritt. Der Server sieht den gleichen Effekt, die Verbindung ist in Ordnung und die RRAS-Protokolle zeigen, dass die Verbindung aufgrund einer Schließanforderung des Clients geschlossen wurde. Dies deutet darauf hin, dass der Server tatsächlich das Timeout-Trennungspaket vom Client empfängt, wenn der Client eine Zeitüberschreitung aufweist.
Ich habe Wireshark sowohl auf dem Server als auch auf dem Client ausgeführt. Beide Geräte verlieren die Datenverbindung, wenn der Server ein RST-Paket über den VPN-Steuerport (1723) an den Client sendet. Es gibt keinen anderen TCP-Verkehr auf diesem Port, der damit in Zusammenhang zu stehen scheint, bis der Client das Timeout-Close-Paket sendet. In dieser Transaktion werden keine FIN-Pakete identifiziert.
Ich habe Firewall-Probleme auf dem Router ausgeschlossen. Es scheint, dass der Router den GRE-Tunnel bricht, wenn er das RST-Paket vom Server kommen sieht. Beim Überprüfen der Protokolle auf Client und Server kann ich keinen Grund für das Senden des RST-Pakets finden. Dies scheint der Hauptgrund für die Schließung des Tunnels zu sein.
Ich habe dieses Problem erstmals in den Ubnt-Foren angesprochen. Meine Antworten an einen Ubnt-Vertreter können Sie hier sehen:
http://community.ubnt.com/t5/EdgeMAX/PPTP-VPN-Passthrough/mp/666797#U666797
Ich habe nach anderen gesucht, bei denen ein ähnliches Problem auftritt, aber andere scheinen Probleme mit anderen Konfigurationen zu haben.
Hat jemand eine Lösung dafür?