Назад | Перейти на главную страницу

Как остановить платформу фильтрации Windows, блокирующую пакеты ICMP для законного трафика RDP через туннель L2TP?

RDP через Windows 2008 L2TP в Windows 10 Pro никогда не работал безупречно. Первая попытка в сентябре 2018 года потребовала замены клиента Cord.app на Royal TSX в OS X 10.9.5. Удаленный ящик Win10 сломался и был недавно переустановлен со всеми последними и лучшими обновлениями Windows в соответствии с обновлениями от 16 ноября 2018 года, как и локальный ящик Windows 2008 R2 SBS, который служит VPN-маршрутизатором с использованием L2TP. Клиент L2TP получает адрес IPv4, присвоенный в двадцатые годы (.21, .22 и т. Д.).

С 16 ноября, даже с Royal TSX, я не могу получить полезное RDP-соединение с удаленным компьютером с Windows 10 Pro через туннель, а также с помощью Cord. Обе попытки подключения прекращаются, когда отображение начального экрана частично завершается: И примерно через 10 секунд соединение L2TP разрывается.

Журнал событий безопасности Windows 2008 показывает, что пакеты ICMP сбрасываются с EventID 5152, задача 12809 и EventData:

ProcessId 0 
  Application - 
  Direction %%14593 (=Outbound)
  SourceAddress 10.0.0.37 
  SourcePort 0 
  DestAddress 10.0.0.22 
  DestPort 0 
  Protocol 1 
  FilterRTID 141619 
  LayerName %%14601 (=ICMP error)
  LayerRTID 32 

Это событие регистрируется 6 раз с 2-секундным интервалом между сообщениями (1 + 2) и (3 + 4) и 3-секундным интервалом между (3 + 4) и (5 + 6). Diff - это последовательный EventRecordID. Больше никаких различий в представлении XML.

Регресс

  1. Подобные вопросы вроде Платформа фильтрации Windows блокирует пакеты для легитимного трафика или Как исправить встроенный брандмауэр Windows, который блокирует пакеты, несмотря на настроенное исключение? не дай мне подсказки.
  2. Здесь нет виртуализации, поэтому я не вижу необходимости отключать разгрузку TCP NIC.
  3. Я создал правила для входящего и исходящего брандмауэра, чтобы разрешить весь трафик ICMP для 10.0.0.0/24 - 10.0.0.0/24. Пакеты ICMP во время RDP через L2TP по-прежнему отбрасываются.
  4. auditpol disable logging не является решением.
  5. уменьшение MTU до 1280 байт не улучшает
  6. переключение клиента на сеть маршрутизатора Mikrotik (с домашнего маршрутизатора Fritz! Box OS 06.83) улучшилось дважды, использование iPhone4 Wi-Fi или подключенного через USB iPhone4 в качестве маршрутизатора GSM не улучшает
  7. обновление до Fritz! OS 7.01 не улучшает
  8. Коробка Windows 7 в той же сети, что и коробка Win10, страдает от идентичных проблем с RDP L2TP VPN, пакеты отбрасываются и канал L2TP отключается примерно через минуту после запуска сеанса RDP.

На Mikrotik (проблема с отключением отсутствует, MTU установлен на авто):

$ ping -D -c 1 -s 1472 host.domain.nl     (22-11-18 10:06)
PING host.domain.nl (1.4.6.2): 1472 data bytes
1480 bytes from 1.4.6.2: icmp_seq=0 ttl=32 time=98.001 ms
$ ping -D -c 1 -s 1473 host.domain.nl     (22-11-18 10:06)
PING host.domain.nl (1.4.6.2): 1473 data bytes
ping: sendto: Message too long

В ОС Fritz! OS 7.01: размер пинга 1464 = ОК, 1465 = требуется фрагмент и установлен DF (MTU 1492).

Как заставить Windows Filter Platform (WFP) перестать отбрасывать ICMP-пакеты, которые отправляются через механизм маршрутизации Windows для аутентифицированных туннелей L2TP?

Частичная загрузка экрана перед сбоем кажется мне несоответствием размера MTU. Обычно для туннелей MTU меньше 1500.

В качестве теста временно уменьшите настроенный MTU вашего RDP-клиента, чтобы увидеть, есть ли разница. Если ваш клиент работает под управлением Windows, вот ссылка: https://becomethesolution.com/how-to-change-and-check-windows-mtu-size