---

Hej NG

Jeg prøve at koble op mod en Cisco VPN3005 koncentrator fra W2K ved brug af
den indbyggede VPN connection wizard. Anvender PPTP.

Tilladelserne er givet på 3005'eren, og PPTP-protokollen er aktiveret.

Når jeg vil koble op får jeg følgende i loggen på 3005'eren:

"Session started on tunnel A.B.C.D"

"Tunnel to peer A.B.C.D established"

"Tunnel to peer A.B.C.D closed: Reason None (No additional info)" (kommer 1
sekund efter Tunnel established).

Hvad er problemet.? Skal man anvende certifikat v. PPTP?



mvh

Nels Henrik Egebjerg

---

On Wed, 20 Mar 2002 09:18:15 +0100, "Niels Henrik Egebjerg"
<nhe@mail.dk> wrote:

> Jeg prøve at koble op mod en Cisco VPN3005 koncentrator fra W2K
> ved brug af den indbyggede VPN connection wizard. Anvender PPTP.

Jeg kan ikke lade være med at spekulere over, hvorfor i alverden
du kører PPTP og ikke IPSec. VPN-klienten fungerer fint med W2K.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Jeg kan ikke lade være med at spekulere over, hvorfor i alverden
> du kører PPTP og ikke IPSec. VPN-klienten fungerer fint med W2K.

Ja, VPN-Klienten fungerer perfekt de fleste steder, men jeg har haft nogle
tilfælde hvor jeg ikke kan få det til at køre ordentligt.
Der har været følgende problemer:

1. Forbindelsen går ned efter relativ kort tid (5-10 min) selv om der er
trafik. Man kan genstarte klienten og komme på igen, men det samme sker.
(dette sker fra en stationær PC på et netværk i Sverige)

2. Problemer med at finde logon-server (win2Kserver SP2 - den kan pinges
både med navn og ip) når der kobles op via en belgisk DSL-forbindelse. Der
er fin adgang til øvrig netværk / internet mv. Nøjagtig samme PC, samme
konfiguration blev testet i Danmark på en ADSL-forbindelse inden den røg til
Belgien. Der var ingen problemer.

Jeg vil så gerne prøve en alternativ løsning til klienten, da jeg ikke har
kunne finde løsning på ovenstående. Er det skidt at bruge PPTP - Forslag til
løsning på ovenstående er meget velkommen også..

mvh
Niels Henrik

---

Hvilken version af VPN klienten bruger du? Hvilket OS kører klienterne?

> 1. Forbindelsen går ned efter relativ kort tid (5-10 min) selv om der er
> trafik. Man kan genstarte klienten og komme på igen, men det samme sker.
> (dette sker fra en stationær PC på et netværk i Sverige)

Det har jeg også set - Fra 3.5.1 af VPN klienten syntes jeg det er blevet
meget bedre.
F.eks kan maskinerne også gå i standby nu uden at skulle bootes for at køre
VPN igen. ;)

> 2. Problemer med at finde logon-server (win2Kserver SP2 - den kan pinges
> både med navn og ip) når der kobles op via en belgisk DSL-forbindelse. Der
> er fin adgang til øvrig netværk / internet mv. Nøjagtig samme PC, samme
> konfiguration blev testet i Danmark på en ADSL-forbindelse inden den røg
til
> Belgien. Der var ingen problemer.

"Adgang til øvrig netværk?" Resourcer på domænet eller hvad?
Jeg har haft store problemer med VPN klienten på ATM WAN forbindelser, hvor
Windows (rent 2000 miljø ned AD) ikke kunne validere brugeren længere.
Ingen brugere på lokationer, hvor de skulle snakke med en DC over WAN'et
kunne logge på - Var der en DC lokalt på kontoret, virkede det fint.

Jeg løste det ved at sætte
HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Paramters\MaxPacketSize
til 1 (DWORD)
som gør at alt Kerberos trafik bliver sendt som TCP istedet for UDP som er
begrænset til max 1 byte.

Jeg har snakket med et par andre der har haft samme validerings problem via
VPN klienten og det er blevet løst med MaxPacketSize tricket.

-Heine

---

"Heine Jeppesen" <heine@creativeminds.dk> wrote in message
news:a7l2dt$1u2g$1@news.cybercity.dk...
>
> Hvilken version af VPN klienten bruger du? Hvilket OS kører klienterne?

3.5.1 og W2K

> > 1. Forbindelsen går ned efter relativ kort tid (5-10 min) selv om der er
> > trafik. Man kan genstarte klienten og komme på igen, men det samme sker.
> > (dette sker fra en stationær PC på et netværk i Sverige)
>
> Det har jeg også set - Fra 3.5.1 af VPN klienten syntes jeg det er blevet
> meget bedre.
> F.eks kan maskinerne også gå i standby nu uden at skulle bootes for at
køre
> VPN igen. ;)
>
> > 2. Problemer med at finde logon-server (win2Kserver SP2 - den kan pinges
> > både med navn og ip) når der kobles op via en belgisk DSL-forbindelse.
Der
> > er fin adgang til øvrig netværk / internet mv. Nøjagtig samme PC,
samme
> > konfiguration blev testet i Danmark på en ADSL-forbindelse inden den røg
> til
> > Belgien. Der var ingen problemer.
>
> "Adgang til øvrig netværk?" Resourcer på domænet eller hvad?

Telnet/client access-adgang mod en AS400 og internet via samme netværk, men
ikke resourcer på domænet!

> Jeg har haft store problemer med VPN klienten på ATM WAN forbindelser,
hvor
> Windows (rent 2000 miljø ned AD) ikke kunne validere brugeren længere.
> Ingen brugere på lokationer, hvor de skulle snakke med en DC over WAN'et
> kunne logge på - Var der en DC lokalt på kontoret, virkede det fint.
>
> Jeg løste det ved at sætte
> HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Paramters\MaxPacketSize
> til 1 (DWORD)
> som gør at alt Kerberos trafik bliver sendt som TCP istedet for UDP som er
> begrænset til max 1 byte.
>
> Jeg har snakket med et par andre der har haft samme validerings problem
via
> VPN klienten og det er blevet løst med MaxPacketSize tricket.

Det ser interessant ud - jeg vil hurtigst muligt teste dette.

Da vi både har Token Ring og Ethernet har pakkestørrelse før været et
problem. Det er løst ved at alle kører MaxPacketSize 1488 på net-kort.
Problemet bestod bl.a. i at nogle bestemte skærmbilleder fik Client Access
til at miste forbindelsen til AS400. Nøjagtig det samme har jeg oplevet på
nogle af de omtalte DLS-forbindelser.

Tak for dit svar

Med venlig hilsen

Niels Henrik Egebjerg

---

> > Hvilken version af VPN klienten bruger du? Hvilket OS kører klienterne?
> 3.5.1 og W2K

Jeg læste iøvrigt lige denne på CCO (Åben sag for 3.5.1 klienten) -
Nogen der vil forklare mig hvordan det skal læses?
Skal det læses som at NT/2000 maskiner der sidder på et ethernet segment,
hvor der er ATM mellem ethernet segmentet og hvor Concentrator'en er, ikke
vil virke pr. default?

a.. CSCdt85062

The Cisco VPN Client Release 3.5.1, 3.1, or 3.0.X running on Windows NT or
Windows 2000 does not work on an Ethernet segment that connects to a
Concentrator through ATM.


Packets > 1418 bytes are dropped.


The VPN Client on Windows 9X works fine.


Workaround:

Setting the MTU with the SETMTU application allows you to work in this
environment.

> Telnet/client access-adgang mod en AS400 og internet via samme netværk,
men
> ikke resourcer på domænet!

Kunne vel godt lugte lidt af at dine tickets ikke kommer igennem via
Kerberos.

> Da vi både har Token Ring og Ethernet har pakkestørrelse før været et
> problem. Det er løst ved at alle kører MaxPacketSize 1488 på net-kort.
> Problemet bestod bl.a. i at nogle bestemte skærmbilleder fik Client Access
> til at miste forbindelsen til AS400. Nøjagtig det samme har jeg oplevet på
> nogle af de omtalte DLS-forbindelser.

Joeh, men husk lige at det var Kerberos der bliver begrænset i
LSA/Kerberos/Parameters. Hvordan det virker når man allerede kører med en
lavere MTU, ved jeg ikke.

Har du prøvet at sætte MTU til 1400? Det er en af de valg muligheder der er
i SetMTU fra VPN pakken.

---

Heine Jeppesen wrote:

> "Adgang til øvrig netværk?" Resourcer på domænet eller hvad?
> Jeg har haft store problemer med VPN klienten på ATM WAN forbindelser, hvor
> Windows (rent 2000 miljø ned AD) ikke kunne validere brugeren længere.
> Ingen brugere på lokationer, hvor de skulle snakke med en DC over WAN'et
> kunne logge på - Var der en DC lokalt på kontoret, virkede det fint.


Windows 2000 og UDP er en meget dårlig kombination, der er masser af
problemer mellem ethernet og tokenring segmenter, grundet fragmentering,
og windows 2000 bryder sig ikke om fragmentering af udp pakker.

Ovenstående problemer er kun småting, andre problemer man kan se er
klienter der går ned.

Microsoft har påstået at windows 2000 ikke er kompetibelt med tokenring.


> Jeg løste det ved at sætte
> HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Paramters\MaxPacketSize
> til 1 (DWORD)
> som gør at alt Kerberos trafik bliver sendt som TCP istedet for UDP som er
> begrænset til max 1 byte.


Max 1 byte, mener du det?

---

> Windows 2000 og UDP er en meget dårlig kombination, der er masser af
> problemer mellem ethernet og tokenring segmenter, grundet fragmentering,
> og windows 2000 bryder sig ikke om fragmentering af udp pakker.

Så er det da meget godt MS pr. default kører Kerberos over UDP..

> Ovenstående problemer er kun småting, andre problemer man kan se er
> klienter der går ned.

Jeg har "kun" været udsat for at brugere ikke har kunnet logge ind (på
domænet)

> > som gør at alt Kerberos trafik bliver sendt som TCP istedet for UDP som
er
> > begrænset til max 1 byte.
> Max 1 byte, mener du det?

Jaeh, det kan vel ikke blive meget mindre.. Det tvinger ihvertfald alt
Kerberos til TCP jvf. Q244474.

---

Heine Jeppesen wrote:

> Jaeh, det kan vel ikke blive meget mindre.. Det tvinger ihvertfald alt
> Kerberos til TCP jvf. Q244474.


Du sætte UDP pakkenstørrelsen til 1 byte, dette medfører ikke at TCP
pakkestørrelse også er 1 byte, det siger artiklen ikke noget om.

Artiklen nævner endvidere at først skal UDP forsøges, man kan så undre
sig over at det fejler, da den jo ved fejl skal falde tilbage TCP,
hvilket den åbenbart ikke gør.

---

> > Jaeh, det kan vel ikke blive meget mindre.. Det tvinger ihvertfald alt
> > Kerberos til TCP jvf. Q244474.
> Du sætte UDP pakkenstørrelsen til 1 byte, dette medfører ikke at TCP
> pakkestørrelse også er 1 byte, det siger artiklen ikke noget om.

Jeg har vist formuleret mig dårligt. Jeg mente ikke at både UDP & TCP pakke
størrelse på 1 byte ville være resultatet af det reg-fix, men kun ved UDP og
derved tvinges Kerberos til at bruge TCP (med normal pakke størrelse).


> Artiklen nævner endvidere at først skal UDP forsøges, man kan så undre
> sig over at det fejler, da den jo ved fejl skal falde tilbage TCP,
> hvilket den åbenbart ikke gør.

Netop.

---

Heine Jeppesen wrote:

> Jeg har vist formuleret mig dårligt. Jeg mente ikke at både UDP & TCP pakke
> størrelse på 1 byte ville være resultatet af det reg-fix, men kun ved UDP og
> derved tvinges Kerberos til at bruge TCP (med normal pakke størrelse).


Jeg var lige ved at falde for den.

Prøv at forstille dig et netværk med 1 bytes fragmenter af kerberos
pakker, hvis du havde problemer med 1000 bytes UDP pakker, ville dette
fragmenteres op i 1000 fragmenter, forudsat at pakkestørrelse kun dækker
over payloaden.

---

> Jeg løste det ved at sætte
> HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Paramters\MaxPacketSize
> til 1 (DWORD)
> som gør at alt Kerberos trafik bliver sendt som TCP istedet for UDP som er
> begrænset til max 1 byte.

Har netop prøvet dette hvilket resulterede i at den PC'en i belgien ikke
kunne koble op via DSL overhovedt. Altså ikke en gang den almindelige
internetforbindelse. (dermed heller ingen liv i klienten)

Er det den ene byte der går galt?

mvh NHE

---

> Har netop prøvet dette hvilket resulterede i at den PC'en i belgien ikke
> kunne koble op via DSL overhovedt. Altså ikke en gang den almindelige
> internetforbindelse. (dermed heller ingen liv i klienten)
> Er det den ene byte der går galt?

Hvis du har sat MaxPacketSize under LSA/Kerberos er det Kerberos trafik der
er max størrelse på.
Det har næppe noget at gøre med andet end AD.

---

Tak for de mange inputs.. jeg har desværre ikke mulighed for at arbejde
videre med den konkrete sag før efter påske. Jeg vender tilbage når jeg
finder en løsning.

mvh
Niels Henrik Egebjerg

---

"Heine Jeppesen" <heine@creativeminds.dk> wrote in message
news:a7o4oh$6rs$1@news.cybercity.dk...

> Hvis du har sat MaxPacketSize under LSA/Kerberos er det Kerberos trafik
der
> er max størrelse på.
> Det har næppe noget at gøre med andet end AD.

Cisco har (endeligt!) løst det problem jeg fablede om, i version 3.5.1.c af
VPN klienten. Den er udkommet den 2. april.

http://www.cisco.com/cgi-bin/Support/Bugtool/onebug.pl?bugid=CSCdu88694

http://www.cisco.com/cgi-bin/tablebuild.pl/vpnclient-3des

---

>
> Cisco har (endeligt!) løst det problem jeg fablede om, i version 3.5.1.c
af
> VPN klienten. Den er udkommet den 2. april.

Ja, jeg må sige beskrivelsen af de problemer der bliver løst her passer
fremragende, men desværre virker det ikke for mig. Klienten virker, men
problemet er det samme.

Jeg har nu også prøvet med SETMTU-programmet der hører med til klienten, at
sætte packetsize gradvist ned mellem 1400 og 1200 som Cisco også skriver,
men det hjælper ikke. Enten er problemet ikke løst, eller også er der slet
ikke hul igennem.

Jeg prøver nu at koble op med W2K-klienten i stedet og ser om det fungerer!

mvh
Niels Henrik

---

Har nu prøvet med windows-klienten og PPTP. Fungerer ikke. Der oprettes en
forbindelse, brugeren kan pinges på netværket, men det er som om der ikke
rigtig kan komme trafik igennem.

Hvis dette emne stadig eksisterer i gruppen til den tid vender jeg tilbage
når jeg har løsningen.

-NHE