Problema

Windows informa que no hay conectividad a Internet en el enlace Ethernet o WiFi, aunque el usuario pueda acceder a Internet con éxito. Esto también puede hacer que varias características de Microsoft no funcionen correctamente, como la configuración de Office 365.

Las comprobaciones del Indicador de Estado de Conectividad de la Red (NCSI) de Windows usando sondas activas y pasivas pueden fallar cuando la PC con Windows está conectada a Cato.

Entorno

PC con Windows detrás de un socket o conectado a través de Cato VPN.

Solución de problemas

Cuando Windows se conecta a una nueva red, verifica la conectividad a Internet usando una Sonda Activa que involucra una serie de tareas. Después de determinar que hay conectividad a Internet, Windows cambia a Sonda Pasiva hasta que la conexión permanezca activa.

A continuación se presentan algunos pasos de solución de problemas para cada tipo de sondeo:

1. Sonda Activa

Windows utiliza sonda activa para validar que la conectividad a Internet es posible en cada interfaz de red y luego actualiza el Indicador de Estado de Conectividad de Red (NCSI). Durante la sonda activa, Windows sondea varios servidores DNS de Microsoft y utiliza las respuestas para determinar una conexión activa a Internet. 

Para más información vea: Sondas activas NCSI y la alerta de estado de la red

Para Windows 10 o versiones posteriores:

• NCSI envía una solicitud DNS para resolver la dirección delwww.msftconnecttest.comFQDN.

• Si NCSI recibe una respuesta válida de un servidor DNS, NCSI envía una solicitud HTTP GET simple ahttp://www.msftconnecttest.com/connecttest.txt.

• Si NCSI descarga el archivo de texto con éxito, se asegura de que el archivo contenga Microsoft Connect Test.

• NCSI envía otra solicitud DNS para resolver la dirección deldns.msftncsi.comFQDN.

  • Si alguna de estas solicitudes falla, aparece la alerta de red en la barra de tareas. Si pasa el ratón sobre el ícono, ve un mensaje como "Sin conectividad" o "Acceso limitado a Internet" (dependiendo de qué solicitudes fallaron).
  • Si todas estas solicitudes tienen éxito, la barra de tareas muestra el ícono de red habitual. Si pasa el ratón sobre el ícono, ve un mensaje como "Acceso a Internet".

Si recibe informes de que Windows muestra que no hay conectividad a Internet, verifique si alguna de las conexiones mencionadas anteriormente está fallando. Tomar PCAPs y verificar eventos/flujo sería una forma de verificar.

Comprobaciones de registro NCSI

También es posible registrar comprobaciones activas de NCSI usando el siguiente método:

• Inicie el rastreo emitiendo el comando:

netsh trace start scenario=NetConnection tracefile=noint.etl

• Ahora reproduzca el problema (desconecte y luego vuelva a conectar el cliente a la red) y luego detenga el rastreo con el comando:

netsh trace stop

• Aquí hay un ejemplo del tipo de información que se puede encontrar en el archivo de rastreo:

Configuración del registro de Windows bloqueando sondas activas

Es posible que las sondas activas sean bloqueadas por una configuración del registro de Windows, y en ese caso, Windows se basará completamente en la sonda pasiva.

Verifique que la siguiente clave tenga el valor por default de Windows:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"WinHttpSettings"=hex:18,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

En el siguiente ejemplo, un proxy del sistema modificó la clave de registro "WinHttpSettings" a través de GPO, que importa este valor del registro hexadecimal que reemplaza el valor por defecto que Windows coloca automáticamente. Esto hará que la sonda activa falle.

2. Sonda Pasiva

El tráfico de red en vivo se captura y analiza, sin interferir con la red, es decir, sin enviar ningún paquete. La sonda pasiva observa el TTL (Tiempo de Vida) en el encabezado IP de los paquetes TCP/UDP, que puede determinar cuántos "saltos" ha hecho el paquete para llegar al equipo. Un paquete con más de 8 saltos se considera que tiene conectividad a Internet.

El proxy TCP de Cato establecería el TTL en los encabezados IP a 96 como se ilustra a continuación. La captura de paquetes puede realizarse en la máquina con Windows para validar el valor TTL recibido.

Soluciones alternativas:

1. Configure la siguiente clave de registro para utilizar el adaptador WinTAP (capa 2) en lugar de WinTUN (capa 3):
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\UseWintun=0 (DWORD)
2. Cambie la siguiente clave de registro para cambiar a un nuevo modo donde la ruta original no se está eliminando.
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\RTNoRemoveMode=1 (DWORD)

A continuación se presentan los pasos para editar/agregar las claves de registro:

• Abrir el editor de registros:

  • Presione Win + R para abrir el diálogo Ejecutar.
  • Escriba regedit y presione Enter. Esto abrirá el Editor del Registro.

• Navegar a la clave:

  • En el Editor del Registro, navegue a HKEY_LOCAL_MACHINE\SOFTWARE.
  • Si la clave CatoNetworksVPN no existe, necesitará crearla. Haga clic derecho en la clave SOFTWARE, seleccione Nuevo y luego elija Clave. Nombre la clave CatoNetworksVPN.

• Crear el valor DWORD:

  • Haga clic derecho en la clave CatoNetworksVPN que acaba de crear.
  • Seleccione Nuevo y luego elija Valor DWORD (32-bit).
  • Nombra el nuevo valor DWORD UseWintun o RTNoRemoveMode.

• Establecer el valor de datos:

  • Haga doble clic en el valor DWORD UseWintun.
  • En el campo "Valor de datos" apropiado, ingrese 0 o 1(sin comillas).

• Confirmar y cerrar:

  • Haga clic en OK para guardar los cambios.
  • Cierre el Editor del Registro.

• Reiniciar su cliente VPN:

  • Reinicie el cliente VPN para que la clave de registro surta efecto.