Завел юзеров, раздал учетки. Начали отваливаться подключения. В чем проблема дисконнектов?

Немного поэкспериментировал с подключением. Разрыв происходит как в моменты простоя, так и в моменты работы. Причем, сначала пропадает линк, потом отваливается само подключение. После этого некоторое время нельзя переподключиться. Клиенту возвращает ошибку 619.
Со всеми клиентами рвет соединение, не с одним.

Проблемы с интернетом отпадают сразу:
Клиенты и сервер на одном провайдере. На тех же клиентах включены RDP-подключения к тому же серверу (а точнее, не к тому же, а находящемуся за DFL на котором поднят сервер PPTP). RDP работает ровно уже довольно давно.
Вот логи на момент разрыва соединения, и 619 ошибки.
http://yadi.sk/d/W3LjcP8VBkea8

Подробности настройки того самого DFL здесь:
viewtopic.php?f=3&t=162865&start=0

Клиенты находятся за вот этой железкой:
viewtopic.php?f=3&t=162726

Настроить железного клиента нет надобности. Нужно, чтобы PPTP сервер был доступен из любой точки, как минимум, страны.

У вас какая прошивка? Как я понимаю, последняя 2.27.07.01 for WW ?

- Как часто рвется?
- как много клиентов?
- как много могут быть подключены одновременно?
- Рвется у всех?

Если у вас работает 2 wan порта и более надо обязательно это отмечать.

У вас настроен PBR для PPTP протокола (pptp-suite), для входящих соединений от клиентов? Если нет, настройте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Складывается впечатление, что есть какая-то проблема с очередностью правил, поскольку при правильном их порядке 137 порт стандартным правилом дропиться не должен в тоннеле. (судя по логам)
Покажите скриншот папки Rules и подпапок, если таковые имеются...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Не думаю, что с этим проблема. Дропаются широковещательные запросы, как и положено.

Лучше бы увидеть логи на момент разрыва pptp соединения.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

+1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да, последняя.


По-разному. Сейчас подключил 1го, удаленного клиента. На домашнем интернете. Без разрывов.
Может разорвать и через 5 минут после подключения.


максимум 12


не проверял. если речь идет о максимально стабильном числе - меня и одного откидывало


все, кто пробовал подключаться были за DFL800 (у которого 2isp и настроен PBR, линка выше) - у них у всех рвет
тот, который я подключил с домашнего - уже 5 часов нет дисконнекта. на нем пустил пинг до внутреннего ресурса впн. (ping -t)


1wan 1dmz(как wan) на DFL800, за которым сидят "клиенты".
сервер поднят на DFL210 с одним провайдером.


После пояснений, этот совет остается актуальным? зачем PBR для единственного ISP?



http://yadi.sk/d/W3LjcP8VBkea8

тут надо настроить PPTP ALG для исходящих от DFL-800 pptp соединений
http://forum.dlink.ru/viewtopic.php?f=3&t=157860&p=847896


После пояснений, этот совет остается актуальным? зачем PBR для единственного ISP?
[/quote]Нет. в данном случае для входящих неактуально.


Такое кол-во дополнительных вопросов говорит о том, что вы недостаточно детально и подробно описываете изначально проблему.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Насколько можно понять, у Вас два канала на клиентской стороне. Если между ними балансировка или резервирование -- попробуйте для эксперимента исключить их, написав однозначный маршрут до сервера (/32) только через wan1, например.

Балансировка, мне кажется не должна мешать. Но попробовать стоит.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

На DFL-800
Objects - ALG with AV/WCF - создал PPTP ALG с таймаутами 0 по дефолту.
Objects - Services - pptp-ctl - ALG выбрал PPTP ALG, max session по дефолту оставил 200.
Configuration - save and activate.

То, что нужно? или целесообразней создать дополнительный сервис для PPTP ALG?


С сетевым оборудованием производственного масштаба только начинаю иметь дело, еще не все понятно, о чем говорить и куда копать.

Если с PPTP ALG не пройдет - наверное, так и сделаю: ISP, что идет к нам в dmz - проходит маршрутизацию еще до нашего оборудования, с ним возиться может быть проблематично, по-сравнению с ISP, приходящим напрямую на наш wan порт.

Или, есть идеи по-лучше?

Идея получше -- постоянный туннель между DFL на IPSEC, многие так сделали и очень довольны.
Но когда имеют место некоторые странности, лучше не идеи реализовывать, а сначала локализовать проблему, предельно упростив конфиг. В данном случае попробовать поочередно по одному каналу с жесткой привязкой -- может быть на одном проблемы, может у Вас постоянно происходит переключение между ними, а может причина совсем другая.

Подскажите, как выполнить жесткую привязку исходящего РРТР трафика на wan1 порт?

Сделал проще. Выдернул шнур из dmz =)
Эффект такой: Из одной локальной сети, через 1 isp может подключиться только один юзер. Логинится другой - первого выкидывает.

Если у Вас второй пользователь логинится с таким же логином, что и первый, и при этом стоит галка в правилах авторизации PPTP-сервера "Allow one login per username", то именно так и будет.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...