主页 / server / 问题 / 737854
Accepted
scott_lotus
Asked: 2015-11-21 09:03:23 +0800 CST

对等方未响应阶段 1 ISAKMP 请求

  • 772

简短的问题

从 Windows 10 工作站到 PEER NSA 240 的 SonicWall Global VPN 客户端报告出现错误:

对等方未响应阶段 1 ISAKMP 请求。

VPN客户端日志

The connection has been enabled.
Starting ISAKMP phase 1 negotiation.
An error occured.
The peer is not responding to phase 1 ISAKMP requests.
Starting ISAKMP phase 1 negotiation.
etc...

测试环境

问题仅从今天开始仅针对 Windows 10 工作站。在失败之前没有对 NSA 对等体进行任何更改。

Yesterday 19/11/15 all OS nodes:
- 3 x windows 10
- 4 x windows 8.1
- 6 x windows 7 
Connected without exception.

Today 20/11/15 
- 3 x windows 10 fails with exception above.
- 4 x windows 8.1 operational
- 6 x windows 7 operational

请注意,在输入用户凭据之前以及在输入预共享密钥之前进行新安装时会生成此异常。

尝试的修复

  • 升级到最新的 NSA 240 固件
  • 部署最新版本的 Global VPN 客户端
  • 将 NSA WAN MTU 设置为 1450(原为 1500)
  • 允许数据包分段
  • 在客户端禁用窗口防火墙
  • 在客户端禁用 Windows Defender
  • 检查 Windows 更新之前/失败后(后卫定义仅从 19 日开始更改)
  • 测试了多个用户
  • 卸载VPN客户端
  • 运行 GVC Cleaner 工具(从注册表中完全删除客户端)
  • 10 上使用的已确认客户端凭据可从 Windows 8.1 运行
  • 报告异常的 3 个 Windows 10 客户端在家庭位置的单独网络上完全隔离,具有唯一的客户端凭据,2 个共享相同的 ADSL 交换但不同的 ISP。1 关于独特的交换。
  • 运行 Windows 8.1 的笔记本电脑插入与 Windows 10 客户端连接的同一交换机。排除客户端和对等方之间的任何硬件设置。
  • 还将在 Windows 10 主机上尝试 win 7 VM(还没有时间部署)。很确定它会运行。
  • 通常在每次测试时重新启动。

99.9% 确定这是 Windows 10 的问题。

版本信息

Dell SonicWall NSA 240 running:
- firmware version Sonic OS Enhanced 5.9.1.1-390
- Safemode verison 5.0.1.11
- ROM version 5.0.2.7


Client Global VPN Client version is:
- GVCSetup64 4.9.9.1016.


Windows 10 version:
- pro 64-bit (10.0, build 10240)

没有想法了。

谢谢

斯科特

26 年 1 月 25 日编辑

答:从新的 Windows 10 笔记本电脑

  • 连接到我的 VPN 终端网络外部的新 WIFI 网络 (WIFI X)。供参考的ISP是BT。独立的ADSL线路。
  • 下载并部署 GVPN Clinet 4.9.9.1016。
  • 输入预共享密钥
  • 输入的用户凭据。连接的。

这是第一个 Windows 10 成功连接。

B:来自同一台 Windows 10 笔记本电脑:

  • 断开连接的 VPN。
  • 断开WIFI
  • 连接到另一个外部 WIFI 网络 (WIFI Y)。同样BT是ISP,独立的ADSL线路,注意这和WIFI X不是同一条ADSL线路。
  • 尝试 VPN 连接。
  • 对等方未响应阶段 1 ISAKMP 请求。

这似乎表明在全新安装 Windows 10 时初始 VPN 连接是成功的。

C:来自同一台 Windows 10 笔记本电脑:

  • 断开WIFI Y
  • 连接到 WIFI X。
  • 连接到 VPN 端点。
  • 传递用户凭据。
  • 连接成功。

所以问题是为什么。请注意,根据原始帖子,所有其他 Windows 10 客户端仍然失败。

值得注意的一件事。所有成功的客户端连接,无论是 7、8 还是 10 都报告starting aggressive mode Phase1 exchange。我应该指出 VPN 终端位于 NAT 设备后面。在 Windows 10 之前,这一直不是问题。此设备当前启用了以下支持:

  • PPTP 直通
  • IPSec 直通
  • 组播直通
  • 端口转发 500 UDP
  • 端口转发 4500 UDP

今天感觉离解决这个问题又近了一步。在部署专线的过程中。我想部署新的 SonicWall NSA 硬件,在这种情况下,VPN 将在托管外部 IP 的设备上终止(即没有 NAT)。怀疑这将解决我使用 Windows 10 客户端的问题。

附加测试

  • 此外,所有端口 1-65534 TCP/UDP 都已转发到 VPN 终止端点进行测试。

  • 从测试笔记本电脑中删除了防病毒软件。

  • 尝试更改笔记本电脑上的协议绑定顺序并重新启动,但没有帮助。当时的想法是,Windows 10 在安全/绑定方面处理的方式有所不同,因此通常需要查看其他用户在通信方面遇到的问题。 参考

谢谢你。斯科特

vpn

2 个回答

  1. Best Answer

    由于 Windows 10 更新,此问题在过去几天内似乎已自行解决。我目前不知道确切的更新,但如果可用,我会发布更多信息。

    编辑添加我可以断然确认没有对我们的 NSA 防火墙或 VPN 适配器软件进行任何可能导致 Windows 10 IPsec VPN 功能重新开始运行的更改。

    谢谢

    斯科特

    已编辑以添加指向 Windows 10 更新历史记录的链接,该历史记录涵盖了不可操作和可操作之间的时间段。

    2016 年 3 月 8 日 — KB3140768(操作系统内部版本 10586.164)

    此更新包括质量改进和安全修复。此更新中没有引入新的操作系统功能。主要变化包括:

    • 改进了对蓝牙、可穿戴设备和应用程序访问联系人的支持。

    • 提高了应用程序安装和讲述人的可靠性。

    • 改进了休眠、应用程序中的内容输入以及下载和安装更新的性能。

    • 修复了不允许从运行 Windows 10 的 PC 登录 Xbox 的问题。

    • 修复了尝试播放损坏的内容时产生的安全问题。

    • 修复了在 Microsoft Edge 中查看 PDF 时可能允许远程执行代码的安全问题。

    • 修复了 .NET Framework、Internet Explorer 11 和网络的其他问题。

    • 修复了 Microsoft Edge、Internet Explorer 11、USB 存储驱动程序、内核模式驱动程序、.NET Framework、图形字体、OLE、辅助登录、PDF 库和 Adob​​e Flash Player 的其他安全问题。

    有关此更新中的安全修复程序和受影响文件的完整列表的详细信息,请参阅KB3140768

    2016 年 3 月 1 日 — KB3140743(操作系统内部版本 10586.122)

    此更新包括质量改进。此更新中未引入新的操作系统功能或安全修复程序。主要变化包括:

    • 提高了许多领域的可靠性,包括操作系统和 Windows 更新安装、启动、首次安装和配置 Windows、身份验证、从休眠状态恢复、关机、内核、开始菜单、存储、Windows Hello、显示模式、Miracast、AppLocker、互联网Explorer 11、Microsoft Edge 浏览器、网络连接和发现以及文件资源管理器。

    • 改进了视频缩略图生成、NetLogon、Windows Store 和待机功耗方面的性能。

    • 改进了对设备的支持,包括一些可穿戴设备、显示器和打印机场景。

    • 当注册表设置被删除或损坏时重置应用默认值,并简化有关损坏的通知。

    • 修复了安装更新后导致收藏夹丢失的问题。

    • 修复了几个单独可能导致某些应用程序无法启动、更新或允许应用程序内购买的问题。

    • 改进了 Cortana 语音的质量和 Internet Explorer 对话框的多种语言的翻译。

    • 改进了对应用程序、字体、图形和显示、飞行模式、组策略、PowerShell、MDM、Windows Journal、Microsoft Edge、打印、触摸屏、漫游凭据、按钮重置、Windows UX、本地和流视频、音频质量的支持、错误报告、USMT 和 VHD 创建。

    有关受影响文件的完整列表,请参阅KB3140743

    2016 年 2 月 9 日 — KB3135174(操作系统内部版本 10240.16683)

    此更新包括质量改进和安全修复。本月没有推出新的操作系统功能。本次更新的主要变化包括:

    • 改进了更新的安装时间。

    • 修复了使用 InPrivate 浏览时 Microsoft Edge 浏览器缓存访问过的 URL 的问题。

    • 改进的 Silverlight 性能。

    • 修复了不允许 Windows 10 PC 远程配置服务器的问题。

    • 修复了 Windows 日记本中不显示图片和表格的问题。

    • 修复了在目标系统上运行恶意软件时可能允许远程执行代码的安全问题。

    • 修复了 Microsoft Edge 和 Internet Explorer 11 中的安全问题,这些问题可能允许恶意网站的代码在设备上安装和运行。

    • 修复了输入法编辑器 (IME)、直接访问、分配访问、外围设备检测、条形码扫描、Windows 资源管理器、Internet Explorer 11、Microsoft Edge 和脚本的其他问题。

    • 修复了 .NET Framework、PDF 库、Windows Journal、内核模式驱动程序、远程桌面和 WebDAV 的其他安全问题。

    有关此更新中的安全修复程序和受影响文件的完整列表的详细信息,请参阅KB3135174

    即这是这些更新之一,但我目前无法进一步隔离它,抱歉。

    • 1

  2. 此错误通常是由于 UDP 数据包在初始握手期间被分段造成的。SonicWall 现在有一个解决方法。

    转到客户端上的“属性”菜单,然后打开“限制发送的第一个 ISAKMP 数据包的大小”。(此选项在客户端版本 4.9.14 及更高版本中可用)。

    • 1

相关问题