Проблемы VPN в Windows 7 не открываются некоторые сайты

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)

Проблемы VPN в Windows 7 не открываются некоторые сайты

Хочу обратиться к специалистам помочь мне решить проблему с работой VPN-соединения в Windows 7.
Недавно перешел с Win Vista Ultimate x64 SP2 на Win 7 Ultimate x64. Апгрейд прошел успешно, т.к. использую только официально купленные дистрибутивы от Майкрософт. В качестве базового соединения с интернет использую ADSL2+ (первый провайдер), но в основном работаю через VPN (второй провайдер). С неделю после перехода на Win 7 все сайты грузились по VPN отлично, а потом вдруг часть сайтов перестала грузиться. При этом при заходе в интернет через базовое ADSL2+ все сайты грузятся. Не могу понять в чем дело. Во всех браузерах (IE8, Firefox, Opera 10) одна и таже картина. Если использовать http://cameleo.ru/ , то сайты прогружаются и по VPN. Провайдер VPN у меня только один. Кроме того, провел эксперимент – в Win XP SP3 на старой машине с теми же настройками VPN все сайты грузятся исправно. Значит виновата Win 7? Может быть обновления Win 7 влияют? Но не могу понять причину где искать, так как по ADSL2+ все сайты грузятся, значит мой файрволл NIS 2010 ни при чем. Win 7 работает нормально. Обратился к провайдеру, протестировали мой VPN на подобной машине только без обновлений Win 7, у них все работает и они мне ничем помочь не могут. Сбрасывал кэш DNS – не помогло. В файле Hosts все нормально. Подключение к VPN моментальное, скачивание с файлообменников на хорошей скорости, соединение VPN устойчивое - не разрывается. Вирусов на машине не выявлено. Вот и решил поискать ответ в сети у спецов. Надеюсь подскажете где поискать причину почему часть сайтов не открывается.

Avrik,
1. при открытии сайтов VPN не сбрасывается
2. у ADSL используется PPPoE соединение, у VPN используется PPTP (обычно), для данного соединения нужны настройки firewall, т.е. разрешить GRE протокол, и порт 1723 (возможно сбой в firewall)
3. так как предполагаем , что ping у VPN проходят, то проверьте DNS
nslookup www.xxx.ru
после некоторых SMS троянов (на пол экрана или на весь) и удаления их, встречал такую штуку соединение есть но сайты не открываются.

Avrik,
не доглядел про http://cameleo.ru/

разница в том, что создано защищенное соединение по SSL - HTTPS порт 443 и второе запросов DNS нет вообще.
работа с интернетом идет через данный сайт, что-то наподобие ускорителей, которые сжимают страницы интернета (т.е. странички это текстовые файлы, которые хорошо сжимаются), все запросы идут через эти сервера.

Valeant,

Посмотрел - протокол GRE разрешен, порт 1723 - открыт

Valeant,

DNS проверил - все работает нормально

Avrik, MTU пробовали уменьшать для VPN-соединения?
[решено] Изменение значения MTU

Petya V4sechkin,

Установленно рекомедованное значение MTU для VPN - 1400

Модем Zyxel 660RT

MTU для сетевой карты - 1500
MTU для базового соединения ADSL2+ - 1480
MTU для VPN - 1400

Что-то надо менять?

Цитата:

Avrik,
DNS проверил - все работает нормально

Не скромный вопрос а как?

Да не трогайте вы MTU не рекомендую, поставьте автоматическое определение, сама будет определять объем данных и не будет проблем.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
EnablePMTUDiscovery = 1

Valeant,

У провайдера 2 DNS-сервера. Работоспособность DNS-сервера проверил командой nslookup -d "адрес сайта". Я просто проверил есть ли в списках Ip-адресов на этих DNS-серверах ip-адреса тех сайтов, что у меня не загружаются по VPN. Оказалось, что есть, так как думалось, что возможно у провайдера произошел сбой оборудования и адреса потеряны и проблема затянется до очередной плановой перезагрузки маршрутизатора и до этого времени сайты не будут загружаться. Специалисты говорили, что так бывает. Может я не так что сделал - признаю, подскажите, так как не специалист.

Avrik, можете MTU для проверки поменять, а если не поможет - вернуть обратно (как было).
Вот еще из этой темы процитирую:

Цитата:

Цитата Ilya Tumanov - MSFT

При этом po идее ОС включает "path MTU discovery" который основан на посылке пакетов с флагом запрета фрагментации что можно проделать самостоятельно:

ping -l <размер> -f <host>

Увы, довольно часто провайдеры криво конфигурируют фаерволы блокируя работу "path MTU discovery" и отдисковеренный MTU оказывается неверным.

Опять же для эксперимента можно отключить AutoTuning.
Сначала посмотрите текущие параметры командой:

Код:

netsh interface tcp show global

Потом от имени Администратора выполните:

Код:

netsh interface tcp set global autotuning=disabled

Если не поможет, вернете обратно.

"path MTU discovery" - я думаю к провайдерам не имеет никакого отношения,

Цитата:

так как фрагментация пакетов сильно снижает производительность роутеров, то в 1988 году была предложена технология Path MTU Discoverу (PMTUD). Она описана в RFC 1191.

Сам механизм работает просто пакет до сервера идет через кучу маршрутизаторов где в пакете установлен флаг с битом DF = 1 (Do not fragment), каждый роутер проверяет последущий участок по пути прохождения пакета и если MTU меньше чем в пакете, то формируется пакет ICMP определенного типа где в нем будет указан допустимый объем MTU на данном маршруте и отправлен отправителю (пользователю).

Это скорей всего относится к пользователям, которые расшаривают свои интернет каналы, для других клиентов локальной сети и сами настраивают свои роутеры, да в добавок firewall на запрет всех ICMP.
На PPPoE это не влияет, а вот на VPN может влиять, и как быть клиенту сегодня маршрут один MTU значение одно, завтра произойдут изменения маршрут будет другой и что опять менять MTU, далее для одного сайта оно будет одно, а например для другого другое и что теперь искать наименьшее по всей сети.
И еще фишка в том, что соединение по VPN доступа кроме как к VPN-серверу пользователь не куда не получает, он только работает с сервером VPN.