Обрыв RDP сессии при подключении к VPN

[network1]

Всем привет, пару дней пытаюсь разобраться в ситуации, но своими силами и гуглом - никак не получается. Возможно потому что знаний не хватает даже для того, чтобы адекватно сформулировать поисковой запрос. Может разъяснит кто-то более понимающий и опытный, буду очень благодарен. Подобную тему на форуме не нашел.

Имеется два vpn одного и того же вендора. Первый - ssl vpn, второй - не уверен, скорее ipsec. Не знаю, может ли это влиять на суть вопроса, на всякий случай упоминаю.

Тестирую подключения к ним с удаленных серверов, коммуницирую с которыми посредством rdp протокола. Сервера тоже два - windows и linux.

К первому vpn подключается с обеих осей, при этом никак не отражаясь на rdp сессии.

Ко второму же vpn подключается до момента проверки сертификата, а после rdp сессия отрубается, и повторно залететь по rdp на сервер можно только после ребута этого самого сервера.

Насколько я понимаю, при подключении к vpn меняются роуты на хосте, и из-за этого rdp сессия обрывается?
Но по факту обрывается не только она, а падает весь сервак - почему?
Почему в случае подключения к первому впн, смена роутов не отрубает ничего?
Можно ли редактировать образом подобным первому впну второй?
Если да, для этого нужен конфиг, который лежит на стороне vpn сервера или есть еще способы?

В общем, вопросов много, чтобы сильно не флудить ограничусь этими. Надеюсь, я смог описать суть вопроса.
Кто тоже не знает, но интересуется и желает поковырять проблему вместе - буду только рад.
Заранее благодарю отозвавшихся.

 

[c0v1d21]

Если тебе нужно подключаться к VPN сети с удаленного сервера , к примеру к Fortinet , покупаешь выделенный сервер на Windows , именно Dedicated а не VPS , на него ставишь гипервизор , тот же Virtualbox , туда виртуалку а с нее уже подключаешься к VPN. Я в свое время тоже голову сломал наде решением этой проблемы ))

 

[network1]

Если тебе нужно подключаться к VPN сети с удаленного сервера , к примеру к Fortinet , покупаешь выделенный сервер на Windows , именно Dedicated а не VPS , на него ставишь гипервизор , тот же Virtualbox , туда виртуалку а с нее уже подключаешься к VPN. Я в свое время тоже голову сломал наде решением этой проблемы ))

Спасибо за ответ. Такой вариант чуть дороже, но более логичный наверное. Но в данный момент есть только впски, и не хочется терять время впустую. А главная головоломка в том - почему один акк впн работает даже с впс, а другой выбивает? Всю голову сломал. Отличие впнов только в двух разных акках - на первый взгляд.

 

[Eleven]

почему один акк впн работает даже с впс, а другой выбивает? Всю голову сломал

Речь идёт не о корп впн-е как понял. Обычный впн меняет айпи сервера при подключении к серверу впн провайдера и идёт дисконнект. Иногда помогает поставить в настройках udp протокол вместо tcp

 

[network1]

Речь идёт не о корп впн-е как понял. Обычный впн меняет айпи сервера при подключении к серверу впн провайдера и идёт дисконнект. Иногда помогает поставить в настройках udp протокол вместо tcp

Речь идет о фортиках. Есть конкретный tcp порт для подключения. Насколько я понимаю, я не могу его менять, это все на серверной стороне делается. Ну и опять же повторюсь, в одних и тех же условиях один фортик работает, а второй нет.

 

[4vernoob]

Вероятно, во втором случае туннель подымается с заворачиванием всего трафика в него, либо идет пересечение маршрутов. Точно можно увидеть через таблицу маршрутов (route print, ip route show) до и после поднятия туннеля. Лечится, как вариант, заданием статик маршрута до клиента через /32 маску, в этом случае, маршрут будет иметь наивысший приоритет после директа.

 

[network1]

Вероятно, во втором случае туннель подымается с заворачиванием всего трафика в него, либо идет пересечение маршрутов. Точно можно увидеть через таблицу маршрутов (route print, ip route show) до и после поднятия туннеля. Лечится, как вариант, заданием статик маршрута до клиента через /32 маску, в этом случае, маршрут будет иметь наивысший приоритет после директа.

Проверить таблицу представляется возможным только в случае первого впна, после подключения. Во втором случае же все виснет, не знаю как проверить можно таблицу маршрутов второго впна. Единственное, при подключении, в логах видно DNS впна, и в первом случае он какой-то рандомный будто, так я запомнил, а во втором случае там днс гугла, перед тем как виснет, последнее, что я вижу.

То есть мне надо в сетевых настройках удаленной ОС прописать статический маршрут до клиента фортика, верно я понял? Буду дальше гуглить если так, навскидку не представляю как это сделать.

 

[4vernoob]

Виснет коннект или сам хост?
Если коннект, то через шилдер запуск батника вывода таблице в файл и потом смотреть.
До машины с которой идет RDP сессия, если это паблик IP (в этом случае похоже, что в туннель форсится весь трафик), то маршрут /32 через дефолт гейт сервера к которому идет подключение.

 

[network1]

Виснет коннект или сам хост?
Если коннект, то через шилдер запуск батника вывода таблице в файл и потом смотреть.
До машины с которой идет RDP сессия, если это паблик IP (в этом случае похоже, что в туннель форсится весь трафик), то маршрут /32 через дефолт гейт сервера к которому идет подключение.

Виснет сам хост, помогает только полный ребут сервера.
Последовательность такая: со своего хоста я подключаюсь по рдп к публичному айпи впски, и с нее пытаюсь подключиться к фортику. Что куда прописывать в таком случае? Извиняюсь за, возможно, глупые вопросы, я только учусь.

 

[4vernoob]

Ну боюсь если виснет сам хост тут маршруты не помогут видимо крашится клиент.
На впс-ке:
Что-т типа

ip route add <АДРЕС машины с которой подключаешься по РДП>/32 via <ДефолтГейт самой ВПС-ки>

Тогда, по идее, все должно поднятся, если фортик Ваш, то просто в настройках сплит туннель включить.

 

[network1]

Ну боюсь если виснет сам хост тут маршруты не помогут видимо крашится клиент.
На впс-ке:
Что-т типа

ip route add <АДРЕС машины с которой подключаешься по РДП>/32 via <ДефолтГейт самой ВПС-ки>

Тогда, по идее, все должно поднятся, если фортик Ваш, то просто в настройках сплит туннель включить.

Благодарю за совет! Попробую в эту сторону поковырять и отпишусь тут о результатах, если что.

 

[Eleven]

Речь идет о фортиках. Есть конкретный tcp порт для подключения. Насколько я понимаю, я не могу его менять, это все на серверной стороне делается. Ну и опять же повторюсь, в одних и тех же условиях один фортик работает, а второй нет.

Есть такая проблема именно по фортикам. В большинстве случаев диссконнекта нету, но бывает при подключенни коннект отпадает. Решал как человек писал выше - виртуалкой на деде. Есть юзают эник или ставят радмин сервер на дед. Эник думаю будет лучше. Хотя для меня виртуалка удобней. Решить проблему не смог, хотя также спрашивал у ребят с темы. Виртуалки хватает и удобно

 

[network1]

Есть такая проблема именно по фортикам. В большинстве случаев диссконнекта нету, но бывает при подключенни коннект отпадает. Решал как человек писал выше - виртуалкой на деде. Есть юзают эник или ставят радмин сервер на дед. Эник думаю будет лучше. Хотя для меня виртуалка удобней. Решить проблему не смог, хотя также спрашивал у ребят с темы. Виртуалки хватает и удобно

Понял, спасибо, будет вариант вдску взять - именно по такой схеме и сделаю. А пока вот в моем случае, мне кажется реальное решение - это прописать статические роуты, как советовали выше. Буду пробовать дальше.

 

[kamzzzzz]

Господя, да накати альтернативный удаленный клиент который не привязывается к ипу, если уж совсем нет вариантов, а так все правильно тебе сказали про виртуалку

 

[4vernoob]

Если там реально весь трафик заворачиваетсяв туннель, а это обычно делается чтобы контролить трафик удаленных машин, то там может быть накручен аппконтрол, который любой эник и т.п. попросту не пропустит. Но это если дело реально в маршрутах и т.п.

 

[network1]

Всем спасибо за участие. Решил вопрос прописыванием статического роута с впс до хоста от куда идет коннект к рдп.

 

[The CaT]

OpenFortiVPNclient can fix most of the problems, but its pod NIX, next go remmina, then anydesl, or private shell/VPN/anydesk/cobalt

 

[network1]

OpenFortiVPNclient can fix most of the problems, but its pod NIX, next go remmina, then anydesl, or private shell/VPN/anydesk/cobalt

I also tried to connect with openfortivpnclient from nix vps, unfortunatelly its not solve the problem. The solution is to set static route from vps.

 

[4vernoob]

Это так же может пригодиться на пути в офисную сеть, в ситуациях, когда есть доступ к клиентской машине, трафик контролится (весь заворачивается в туннель и м.б. обвешан AV, IPS и т.д.), а к самому впн акку прикручен OTP.