web-dev-qa-db-ja.com

L2TPトンネルを介した正当なRDPトラフィックのICMPパケットをブロックするWindowsフィルタリングプラットフォームを停止するにはどうすればよいですか?

Windows 2008 L2TPを介したWindows 10 ProへのRDPは、完全に機能することはありませんでした。 2018年9月の最初の試みでは、クライアントのCord.appをOS X10.9.5のRoyalTSXに置き換える必要がありました。リモートのWin10ボックスがクラッシュし、L2TPを使用してVPNルーターとして機能するローカルのWindows 2008 R2 SBSボックスと同様に、2018年11月16日の更新に従って最新かつ最高のWindowsがすべて再インストールされました。 Network client server Windows 10 Pro schematic L2TPクライアントは、20代(.21、.22など)に割り当てられたIPv4アドレスを取得します。

11月16日以降、Royal TSXを使用していても、トンネルを介してリモートのWindows 10 Proボックスへの使用可能なRDP接続を確立できず、コードも使用できません。最初の画面表示が部分的に終了すると、両方の接続試行が停止します。 RDP to Windows 10 Pro via Windows 2008 R2 L2TP partial finished そして約10秒後にL2TP接続が終了します。

Windows 2008 Securityイベントログは、ICMPパケットがEventID 5152、タスク12809、およびEventDataでドロップされていることを示しています。

ProcessId 0 
  Application - 
  Direction %%14593 (=Outbound)
  SourceAddress 10.0.0.37 
  SourcePort 0 
  DestAddress 10.0.0.22 
  DestPort 0 
  Protocol 1 
  FilterRTID 141619 
  LayerName %%14601 (=ICMP error)
  LayerRTID 32 

このイベントは6回ログに記録され、メッセージ(1 + 2)と(3 + 4)の間に2秒の間隔、(3 + 4)と(5 + 6)の間に3秒の間隔があります。 Diffは、連続するEventRecordIDです。 XMLビューにこれ以上の差分はありません。

回帰

  1. 正当なトラフィックのパケットをブロックするWindowsフィルタリングプラットフォーム または 構成された例外にもかかわらずパケットをブロックしている組み込みのWindowsファイアウォールを修正するにはどうすればよいですか? などの同様の質問は表示されません手掛かり。
  2. ここには仮想化が含まれていないため、TCP NIC offloadingを無効にする必要はありません。
  3. 10.0.0.0/24〜10.0.0.0/24のすべてのICMPトラフィックを許可するために、受信と送信の両方のファイアウォールルールを作成しました。 L2TPを介したRDP中のICMPパケットは引き続きドロップされます。
  4. auditpolの無効化ロギングは解決策ではありません。
  5. mTUを1280バイトに減らしても改善されない
  6. クライアントをMikrotikルーターネットワーク(Fritz!Box OS 06.83ホームルーターデバイスから)に切り替えると、iPhone4 Wi-FiまたはUSBを使用して2回改善されましたGSMルーターが改善されないため、iPhone4を接続しました
  7. fritz!OS 7.01にアップグレードしても改善されない
  8. win10ボックスと同じネットワーク内のWindows7ボックスでは、同じRDP L2TP VPNの問題が発生し、パケットがドロップされ、RDPセッションの開始から約1分後にL2TPリンクが切断されます。

Mikrotik(MTUがautoに設定されている場合、切断の問題はありません):

$ ping -D -c 1 -s 1472 Host.domain.nl     (22-11-18 10:06)
PING Host.domain.nl (1.4.6.2): 1472 data bytes
1480 bytes from 1.4.6.2: icmp_seq=0 ttl=32 time=98.001 ms
$ ping -D -c 1 -s 1473 Host.domain.nl     (22-11-18 10:06)
PING Host.domain.nl (1.4.6.2): 1473 data bytes
ping: sendto: Message too long

Fritz!OS 7.01の場合:pingサイズ1464 = OK、1465 =フラグメントが必要、DFセット(MTU1492))。

認証されたL2TPトンネル用にWindowsルーティングエンジンを介して送信されるICMPパケットのドロップをWindowsFilter Platform(WFP)で停止させるにはどうすればよいですか?

3
Pro Backup

失敗する前の部分的な画面の読み込みは、MTUサイズの不一致のように見えます。トンネルのMTUは1500よりも小さいのが一般的です。

テストとして、RDPクライアントの構成済みMTUを一時的に減らし、違いがあるかどうかを確認します。クライアントがWindowsを実行している場合、リンクは次のとおりです。 https://becomethesolution.com/how-to-change-and-check-windows-mtu-size

1
Guest