Соединение PPTP не удается во время рукопожатия

Я не вижу ACK от клиента к SYN-ACK сервера. Вот фрагмент захвата Microsoft Network Monitor с моей рабочей станции на внутренний сервер RRAS. Вы можете ясно видеть, как происходит трехстороннее рукопожатие TCP до того, как произойдет какое-либо согласование PPTP. Если клиентское ACK для SYN-ACK сервера не происходит, я бы сказал, что проблема именно в этом.

РЕДАКТИРОВАТЬ

Используя на этот раз Wireshark на сервере, я вижу то же самое, что и вы, когда смотрю на поток разговора. Есть небольшая разница, как показано на снимке экрана ниже. В моем захвате есть 3 управляющих сообщения Set-Link-Info, а не 1 в вашем захвате. Я предполагаю, что сервер и клиент не могут согласовать параметры подключения. Кроме того, я понятия не имею. Извини, я ничем не мог больше помочь.

NAT = Транслятор сетевых адресов (устройство) или Трансляция сетевых адресов (концепция) в зависимости от контекста.

PAT = Транслятор адресов порта (устройство) или Трансляция адресов порта (концепция) в зависимости от контекста

Эта проблема очень распространена, когда любой конец (клиент или сервер) находится за границей NAT / PAT, которая не поддерживает протокол PPTP + GRE - или не поддерживает его должным образом.

В сфере PPTP TCP / 1723 - это простой канал управления, единственная цель которого - активировать специальный вторичный туннель GRE (IP / 47) Microsoft. Этот туннель GRE содержит инкапсулированные кадры PPP и используется для согласования аутентификации, шифрования и передачи фактических данных.

Не все NAT (межсетевые экраны, маршрутизаторы, устройства) поддерживают передачу вторичного туннеля GRE клиентам / серверам. Клиент PPTP VPN появится для подключения, перейдет к сообщению «Проверка имени пользователя и пароля» и зависнет. Этап «Проверка имени пользователя и пароля» требует, чтобы туннель GRE работал.

Некоторые NAT / PAT могут поддерживать один PPTP + GRE для одного пользователя за NAT / PAT, но второй PPTP + GRE от того же пользователя или другого пользователя за NAT / PAT может дать сбой. Я видел много видов впечатляющих сбоев с PPTP + GRE через NAT / PAT как с NAT / PAT на потребительском, корпоративном и корпоративном уровне.

В вашем конкретном случае - если другие пользователи жестяная банка подключиться к вашему RRAS нормально, используя PPTP + GRE, но этот единственный пользователь не может - вероятно, это граница NAT / PAT в сети этого пользователя.

Будьте готовы потратить много времени на диагностику этой проблемы, если у этого конкретного пользователя нестандартный Интернет и периферийное оборудование, особенно если оно принадлежит провайдеру, выполняющему NAT операторского класса (CGN).

Если вы можете получить доступ к ПК пользователя и запустить Wireshark на его ПК при попытке подключения и поискать датаграммы GRE, как к и из сервер RRAS. Если туннель GRE не работает, вы, скорее всего, увидите дейтаграмму GRE, предназначенную для общедоступного IP-адреса сервера RRAS, но не увидите дейтаграмму GRE, возвращенную с общедоступного IP-адреса сервера RRAS.

Если это так, проблема связана с вышестоящим ПК. Посмотрите на все восходящие NAT / PAT, чтобы убедиться, что они поддерживают исправление / пересылку / проверку PPTP + GRE или то, что производитель называет этим. Знайте, что некоторые поставщики, несмотря на «поддержку» PPTP + GRE, поддерживают его только ограниченным образом - как описано ранее. Cisco ASA и PIX уже довольно давно имеют отличную поддержку для исправления / проверки PPTP + GRE - обычно по умолчанию она не включена.

Запуск PPTP, L2TP и IPsec VPN через NAT / PAT довольно проблематичен, если не принять меры для преодоления NAT / PAT. По моему опыту, единственная технология VPN, которая может довольно легко проникать через NAT / PAT, - это VPN на основе SSL / TLS.