Na początku września firmowy VPN (ISA – IAS) przestał działać. W sumie to tak nagle … to znaczy rozwalił się niby IAS (ale to prosta usługa, to ją podnieśliśmy) no i ciągle coś się robi na GW … ale wyglądało to na niezwiązane. Być może nastąpiło po jakimś restarcie.
Efekt dziwny… User autoryzuje się na ISA, przechodzi przez wszystkie reguły IAS, dostaje dwa 0 (to dobrze) po czym na kliencie, pojawia się komunikat, że hasło jest złe, lub system nie wspiera takiej metody autoryzacji. Żeby było weselej, autoryzacja przebiegała za pomocą EAP i smardcard na tokenach, a dwa miesiące wcześniej zmienialiśmy główny certyfikat. SPRAWDZILIŚMY WSZYSTKO!!!! (jak się później okazało prawie). Gość od ISA, powiedział że pier%^&oli on się już na ISA nie zna, gość od Certów, że wszystko jest dobrze i żeby się od niego odpier&%&^ a gość od radiusa, że to jakiś demon jest, bo na IAS wszystko działa. Przenosiliśmy IAS na dwa różne serwery, kombinowaliśmy z VPNami na 100 różnych sposobów … nic nie znaleźliśmy. W końcu pozostała konfiguracja ISA 2006 i NPS na W2k8 (wiem już o nim chyba wszystko … durne zwierze!!!!!). ISA Autoryzowała w AD, NPS pokazywał dwa 0 (to nadal dobrze) a klient dostawał cały czas ten sam komunikat.
To był miesiąc walki, przerzucania winy, karania niewinnych, motywowanie niezaangażowanych … postanowiliśmy zgłosić task do supportu MS. Bo jedyne co nam przychodziło do głowy, to że penie gdzieś w HKLM trzeba zmienić parametr VPN_TET342342DYEIDi z 77ff389 na 11ffee. Czuliśmy się bezradni. Niby wszystko działa… a nie działa.
Task zgłosiliśmy na początku października. Przez 3 miesiące zmieniano nam kilku konsultantów, eskalowano, do Indii, gdzie oczywiście powiedzieli, że nic nie kumają i w końcu temat trafił z powrotem do Polski. Każdy nowy konsultant zaczynam od tego samego … proszę uruchomić TO i TO i to … to coś wygeneruje 1000MB logu .. I proszę to przesłać TU … (godzinny proces). Nie ukrywam … szlag mnie trafiał … eskalowaliśmy, prosiliśmy, opieprzaliśmy … w końcu odmówiłem kolejnego zbierania logów, dopóki na podstawie poprzednich, nie przejdziemy chociaż krok dalej.
Szału prawie dostałem jak tydzień temu konsultant zadał mi pytanie wskazujące na problem z MTU.
Oczywiście Qrwa że sprawdziłem MTU. Zawsze to robię … współpracujemy z połową świata, mają różne porąbane sieci … wiem co to MTU i Qrwa wszędzie mam 1500. I miałem. Tylko Sprytny pan Rafał z MS, zauważył w ruchu sieciowym, że moja ISA nie fragmentuje pakietów większych niż 1500 bajtów. Więc jeśli po pingu większym (ping -f -l 1505 host) dostaniecie” Request time out” zamiast „Packet needs to be fragmented but DF set.” wróży to problemy ;)
Zmieniłem stery NICa (w razie czego), zmieniłem ustawienie JumboFrames (to raczej bez znaczenia – chyba) i zastosowałem rozwiązanie MSa… czyli takie jakiego się spodziewaliśmy ;p
Dodnie wpisu do rejestru
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicestcpipparameters
Value Name: EnablePMTUBHDetect
Data Type: REG_DWORD
Value: 1
VPNy ruszyły.
Wniosek … Network Monitor prawdę ci powie. Tylko tam można było wywnioskować, że w trakcie ” „Access-challenge ” jeden z pakietów był dropowany.
Tomek
papi
kojn
pow3r_shell