Недавно стали приходить жалобы.
у некоторых наших товарищей отстегнулся VPN. А он у нас реализован на железе Cisco.
Ошибка - удаленное железо не отвечает.
Причем ситуация не привязана к конкретному клиенту, клиентскому компьютеру.
У человека на рабочем месте - нет VPN. Через телефон (как модем) - есть VPN. Из другой точки города - есть VPN.
(проверки делались на одном и том же ноуте.)
Т.е. на лицо привязка к провайдеру или к географии.

Неужели некоторые провайдеры заблокировали доступ к серверам Cisco?
Но об этом не сообщалось. И бурлений не было.
В чем же может быть дело?
Информация или мысли есть?

Не совсем понятно причём здесь сторонние сервера производителя железки, если железка полностью автономна.
Проблемы скорее всего на вашей стороне (в т.ч. вашего провайдера). Айпишка на домене не менялась? NS записи норм? Маршрут от "плохого клиента" до вашего провайдера рабочий?

Не совсем понятно причём здесь сторонние сервера производителя железки, если железка полностью автономна.
Так поговаривают что весь цисковский vpn трафик идет через их сервера.
Айпишка на домене не менялась? NS записи норм?
Домене какого уровня? У нас не менялся. Что у провайдера не знаю. Надо его прижать в темном углу. Но беда длится уже более недели. За этот срок все должно было обновится.
NS или DNS записи? Да нормальные они. Чего им слетать? А изменений с нашей стороны никаких не было.
маршрут от "плохого клиента" до вашего провайдера рабочий?
Рабочий. Пингуется. И tracert строит маршрут от начала до конца.

Что еще можно и надо проверить? Какие еще возможные причины?

что за игры в угадайку? посмотрите логи клиента с обычного инета и gprs, что в логах на сервере при этом, tcpdump опять же есть, может провайдер какие то пакеты режет или вообще порт закрыл

Так поговаривают что весь цисковский vpn трафик идет через их сервера.
Как "хорошо" это бы работало представляете? :) Каким-нибудь бесплатным анонимайзером попользуйтесь - будете представлять :) Исключить на 100% программные закладки нельзя, но они так "топорно" не работают.
Порт туннеля поменять не пробовали? Поставить что-нибудь стандартное, например 443 и замаскировать под https.

alexis69
Так поговаривают что весь цисковский vpn трафик идет через их сервера.

"Говорят, что кур доят". Где Вы только такую чушь услышали?

Чесслово ничего не понял.
Вы покупаете канал у прова и делаете VPN посредством применения циско у себя?
Или Вы покупаете у прова готовый VPN?

Если vpn ваш, при чем тут пров или география?

Канал у провайдера, а VPN - наш.

Сейчас удаленно просканировал UDP порты 500 и 4500 на циске.
Открыты.
Но у меня VPN и не отваливался.
Надо будет проблемным людям сказать чтобы просканировали.

Провайдер может заблокировать отдельные порты?
В смысле, заблокировать то конечно может, но они так поступают?

alexis69
Иными словами, вы просто подключены к интернету, а vpn формируете у себя на двух концах посредством использования (например) ipsec cisco?

Да. Да. Именно так.

Если vpn ваш, при чем тут пров или география?
А потому что, как писал выше....
Имеется один ноут.
Из дома он не может подключится по VPN
Из другой точки города - может
При использовании телефона в качестве модема - может отовсюду.

Имелся, конечно же, в виду не наш провайдер, а провайдер клиента.

alexis69
Из дома он не может подключится по VPN
В самом ноуте, при подключении к разным сетям существуют разные правила поведения Firewall'а.

Давайте чуть больше конкретики в тему добавим. Сколько конкретно клиентов подвержены этому? Какие провайдеры хотя-бы у двух из них? Какой тип подключения к интернету использует хотя-бы один из них (PPTP, PPPoE, L2TP, итп)?

В самом ноуте, при подключении к разным сетям существуют разные правила поведения Firewall'а.
А с какой бы радости им менятся?
Клиент более чем опытный и "шаловливые ручки" - это не про него.

Хотя, конечно, ест повод призадуматься.

Давайте чуть больше конкретики в тему добавим. Сколько конкретно клиентов подвержены этому? Какие провайдеры хотя-бы у двух из них? Какой тип подключения к интернету использует хотя-бы один из них (PPTP, PPPoE, L2TP, итп)?
С конкретикой пока туго.
Имеются два проблемных клиента.
А вот на остальные вопросы ответить пока не готов.

RU245
В самом ноуте, при подключении к разным сетям существуют разные правила поведения Firewall'а.
Давайте чуть больше конкретики в тему добавим. ...
Поговорил с одним из проблемных клиентов. Человек опытный.
Вот какая интересная картинка вырисовывается.
Домашний провайдер (там где нет VPN) - Ростелеком. Оптика. Тип подключения PPPoE
Другая точка где есть подключение. Провайдер тоже Ростелеком. Оптика. Тип подключения PPPoE
Ну телефон... С ним думаю, понятно.
Далее...
Человек не использует какой либо Firewall. Не использует и антивирусы.
Использует только стандартный виндусный защитник.
Сетевое подключение в компьютере одно. Так что нескольких правил в отсутствующем Firewall :) быть не может.
Как бы чудеса, да и только.
Если все отбросить - остается только wi fi и роутер.
Т.к. во всех случаях, только роутеры были разные.
Т.е. надо копать роутер. Его настройки. Может он ни с того ни с сего стал блокировать трафик по двум UDP портам.
Ход мысли правильный ошибки нет?

cisco.com: Document ID: 81824 "Most CommonL2L and Remote Access IPsec VPN Troubleshooting Solutions".
Там всё написано. Не поможет, обращайтесь.