[РЕШЕНО] January 11 \ 12 января 2022 PPTP \ L2TP \ IPSEC \ IKE массово перестал работать Windows 10

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1 2 След.
Ответить
[РЕШЕНО] January 11 \ 12 января 2022 PPTP \ L2TP \ IPSEC \ IKE массово перестал работать Windows 10
WINDOWS 10 многие клиенты перестали подсоединяться по l2tp\ipsec
при этом судя по логам все умирает на самом начальном этапе на уровне установке соединения IPSEC
Если смотерть лог то ошибка 789
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer (Попытка подключения L2TP не удалась, так как уровень безопасности обнаружил ошибку обработки во время первоначальных согласований с удаленным компьютером.)

Если смотреть с сторонны сервера то:
phase1 negotiation failed due to time up xxxxx[500]<=>xxxxxxxxx[500]

и все думал проблема на провайдере но проблема много у кого и провайдеры разные.
РЕШЕНИЕ: обновления от 11 января 2022 года, которые,  являются причиной данной проблемы:


Windows 10 — KB5009543
Windows 10 — Kb5008876
Windows 10 LTSC  - KB5009557
Windows 11 — KB5009566  


Как удалить обновление через повершелл:
wusa /uninstall /kb:5009543
wusa /uninstall /kb:5008876

для win11

wusa /uninstall /kb:5009566

Плохое РЕШЕНИЕ - отключить IPSEC шифрование для L2tp:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000001
"ProhibitIpSec"=dword:00000001
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
IKEv2 ломает win11 laptops sofar, KB5008880 uninstall solved it in both cases.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Попытка подключения Unifi VPN L2TP не удалась, поскольку уровень безопасности обнаружил ошибку обработки. проверил, что протокол Microsoft CHAP v2 включен, и это так. Проверьте, что расширения LCP были включены, и это было. перезапустил модули ключей IKE и AuthIP IPSec и службу агента политики IPSec, но по-прежнему не подключается к vpn. Обнаружил два обновления и удалил их KB5009543 и Kb5008876, VPN заработал.
Такая же проблема на Mikrotik L2TP\IPSEC VPN. Удаление обновлений решает проблему.
Cisco Meraki vpn - также подтверждена проблема.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Добрый день, коллеги!
Немного полезной информации. Сотрудница на личном ноуте умудрилась вместо удаления обновления сбросить систему, таким образом закрепив все обновления. Так что или ждать исправление от Microsoft, или иная рекомендация нужна. Ну роме рпереустановки ))
Скорее нужно ковырять реестр, но не понятно, что это обновление с ним сделало.


РЕШЕНИ ДЛЯ ВАС, это плохое решение, котое я описал выше - внести в реестр изменение и отключить IPSEC для L2TP
Решение как удалить KB не через wusa
Код
Get-WindowsPackage -Online | ?{$_.ReleaseType -like "*Update*"} | `
ForEach-Object {Get-WindowsPackage -Online -PackageName $_.PackageName} | `
Where-Object {$_.Description -like "*KB5009543*"} | Remove-WindowsPackage -Online -NoRestart
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
На стороне L2TP-server пришлось поменять пароль пользователя. Используется L2TP/IPSec с ключом. С рабочей станции под Win7 всё подключалось на ура, другим пользователем. Попробовал этим пользователем подключиться на Win10, прокатило! Поэтому поменял пароль у пользователя раобчей станции Win10. Правда удалить обновление KB5009543 всё же пришлось.
Есть ответ от Microsoft:
https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h2#2773msgdesc

После установки KB5009543 подключения IP Security (IPSEC), содержащие ID поставщика, могут привести к сбойу. Кроме того, могут затронуть VPN-подключения с использованием протокола тоннелей уровня 2 (L2TP) или ключа ip security Internet Exchange   (IPSEC IKE).

Обходное решение. Чтобы устранить проблему для некоторых VPN, можно отключить Vendor ID в параметрах на   стороне сервера. Примечание. Не все VPN-серверы могут отключить ID поставщика от использования.

Дальнейшие действия. В настоящее время мы исследуем проблему и предоставим обновление в предстоящем выпуске.

Затронутые платформы:
Клиент: Windows 11, версия 21H2; Windows 10 версии 21H2; Windows 10 версии 21H1; Windows 10 версии 20H2; Windows 10 версии 1909; Windows 10, версия 1809; Windows 10 Корпоративная LTSC 2019; Windows 10 Корпоративная LTSC 2016; Windows 10 версии 1607; Windows 10 Корпоративная 2015 с долгосрочным обслуживанием
Сервер: Windows Server 2022; Windows Server, версия 20H2; Windows Server 2019; Windows Server 2016
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Эти обновления не ломают PPTP. На машинах, где у нас сломался L2TP + IPSec, PPTP поднялся без проблем, так и "лечим" удаленных клиентов: пускаем к нам по PPTP, подключаемся к клиенту, удаляем обновление, убиваем PPTP.

К тому же по факту обновление ломает не L2TP, а IPSec, сразу после первой фазы на виндовом клиенте получаем ошибку 789, типа, не договорились о параметрах безопасности.

При этом L2TP с принудительно отключенным IPSec подключается.
Что характерно, слетели все L2TP виндовые клиенты подключающиеся к микротику, но у себя "нашел" одно подключение L2TP/IPSec к маршрутизатору Keenetic, подключился без проблем. В Винде настройки клиентов для подключения к Микроту и Кенетику одинаковые, за исключением конечно же логин пароль фраза
Microsoft -  признали проблему и написали обходное решение(об этом я писал выше):
Workaround: To mitigate the issue for some VPNs, you can disable Vendor ID within the server-side settings. Note: Not all VPN servers have the option to disable Vendor ID from being used. (по их словам решение отключить Vendor ID)

Можно ли отключит vendor-id для mikrotik ipsec, как рекомендует Microsoft
Ответ MIKROTIK об отключение vendor id:

Disabling Vendor ID sending on responder side is not a viable option in my opinion as NAT-T detection depends on Vendor ID's. So disabling Vendor ID option on server side would not allow clients behind NAT to connect, which are most of Windows users anyway.
https://datatracker.ietf.org/doc/html/rfc3947#section-3.1

Итог, решение с отключение vendor id : отключение Vendor ID, как рекомендованный Microsoft обходной путь для их неработающего обновления, по существу сломает VPN для всех пользователей за NAT.

Решением по прежнему как я написал в первом ответе является удаление обновлений.
Услуги Системного Администратора - Работаю только с Юр. Лицами по договору обслуживания.
Windows 10 1809 LTSC. Удалил обновление KB5009557. Все равно не работает. Есть второй компьютер (тоже LTSC), на котором вообще обновления отключены с октября 2021 и все равно VPN/L2TP не работает. Не могу найти причину.
Большое спасибо, VPN заработал на Mikrotik.
Вчера вечером, то есть фактически сегодня якобы вышли исправления.

Microsoft выпустило обновление, которое решает данную проблему: This issue was resolved in the out-of-band update KB5010793. It is a cumulative update, so you do not need to apply any previous update before installing it. If you would like to install the update before it is installed automatically, you will need to Check for updates and select "Optional updates" and then select KB5010793. To get the standalone package for KB5010793, search for it in the Microsoft Update Catalog. You can import this update into Windows Server Update Services (WSUS) manually. See the Microsoft Update Catalog for instructions. Note KB5010793will not install automatically.


Обновления являются необязательными, а значит не будут установлены автоматически. Для их получения потребуется вручную зайти в «Центр обновления Windows» и проверить наличие обновлений. Кроме этого, файлы обновлений можно скачать из Microsoft Update Catalog.
К сожалению я не смог найти в списке всех вариантов исправляющего обновления, подходящие для Windows 10 LTSC 1809 x64. Может знает кто номер обновы?
Цитата
PumpON пишет:
Вчера вечером, то есть фактически сегодня якобы вышли исправления.

Увы, мне оно на 21H2 не помогло :(
Для Windows 10 LTSC 1809 обновление вышло на день позже остальных.
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5010791

Guest
Ты обновил билд на 19044.1469 и тебе не помогло?
У тебя на Mikrotik поднят VPN? Тогда четко укажи тип шифрования, вместо запрашивать каждый раз.
Спасибо, помогла установка необязательного обновления KB5010793, поднялись все три старых L2TP VPN соединения к разным Микротикам. После установки обновления, только перезагрузился, никаких манипуляций больше не делал.
Цитата
PumpON пишет:
Ты обновил билд на 19044.1469 и тебе не помогло?
Именно так.
Цитата
У тебя на Mikrotik поднят VPN?
Именно так.
Цитата
Тогда четко укажи тип шифрования, вместо запрашивать каждый раз.
Указан.
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.