Problème

Windows indique qu'il n'y a pas de connectivité Internet sur le lien Ethernet ou WiFi, même si l'utilisateur peut accéder à Internet avec succès. Cela peut également empêcher certaines fonctionnalités Microsoft de fonctionner correctement, telles que la configuration d'Office 365.

Les vérifications du Indicateur de statut de connectivité réseau (NCSI) de Windows avec des sondes actives et passives peuvent échouer lorsque le PC Windows est connecté à Cato.

Environnement

PC Windows derrière un socket ou connecté via VPN Cato.

Dépannage

Lorsque Windows se connecte à un nouveau réseau, il vérifie la connectivité Internet en utilisant la Sonde Active qui implique une série de tâches. Après avoir déterminé qu'il y a une connectivité Internet, Windows passe à la Sonde Passive jusqu'à ce que la connexion reste active.

Voici quelques étapes de dépannage pour chaque type de sonde :

1. Sonde Active

Windows utilise sonde active pour valider que la connectivité Internet est possible sur chaque interface réseau, puis met à jour l'Indicateur de statut de connectivité réseau (NCSI). Pendant la sonde active, Windows interroge plusieurs serveurs DNS Microsoft et utilise les réponses pour déterminer une connexion Internet active. 

Pour plus d'informations, voir : Sondes actives NCSI et l'alerte de statut réseau

Pour Windows 10 ou versions ultérieures :

• NCSI envoie une requête DNS pour résoudre l'adresse duwww.msftconnecttest.comFQDN.

• Si NCSI reçoit une réponse valide d'un serveur DNS, NCSI envoie une requête HTTP GET simple àhttp://www.msftconnecttest.com/connecttest.txt.

• Si NCSI télécharge avec succès le fichier texte, il s'assure que le fichier contient le Test de Connectivité Microsoft.

• NCSI envoie une autre requête DNS pour résoudre l'adresse dudns.msftncsi.comFQDN.

  • Si l'une de ces requêtes échoue, l'alerte réseau apparaît dans la barre des tâches. Si vous survolez l'icône, vous verrez un message du type "Pas de connectivité" ou "Accès Internet limité" (selon les requêtes qui ont échoué).
  • Si toutes ces requêtes réussissent, la barre des tâches affiche l'icône réseau habituelle. Si vous survolez l'icône, vous verrez un message du type "Accès Internet".

Si vous recevez des rapports indiquant que Windows affiche une absence de connectivité Internet, vérifiez si l'une des connexions mentionnées précédemment échoue. Prendre des PCAP et vérifier les événements/flux serait un moyen de vérifier.

Vérifications de journalisation NCSI

Il est également possible de consigner les vérifications NCSI actives en utilisant la méthode suivante :

• Commencez la trace en émettant la commande :

netsh trace start scenario=NetConnection tracefile=noint.etl

• Reproduisez maintenant le problème (déconnectez puis reconnectez le client du réseau) et arrêtez ensuite la trace avec la commande :

netsh trace stop

• Voici un exemple du type d'informations que l'on peut trouver dans le fichier de trace :

Paramètre de registre Windows bloquant les sondes actives

Il est possible que les sondes actives soient bloquées par un paramètre de registre Windows, et dans ce cas, Windows se reposera entièrement sur la sonde passive.

Vérifiez que la clé suivante a la valeur par défaut de Windows :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"WinHttpSettings"=hex:18,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

Dans l'exemple suivant, un proxy système a modifié la clé de registre "WinHttpSettings" via GPO, qui importe cette valeur de registre hexadécimale qui remplace la valeur par défaut que Windows applique automatiquement. Cela entraînera l'échec de la sonde active.

2. Sonde passive

Le trafic réseau en direct est capturé et analysé, sans interférer avec le réseau, c'est-à-dire sans envoyer de paquets. La sonde passive examine le TTL (Time To Live) dans l'en-tête IP des paquets TCP/UDP, qui peut déterminer combien de "sauts" le paquet a effectué pour atteindre l'ordinateur. Un paquet avec plus de 8 sauts est considéré comme ayant une connectivité Internet.

Le proxy TCP de Cato fixerait le TTL dans les en-têtes IP à 96 comme illustré ci-dessous. La capture de paquets peut être effectuée sur la machine Windows pour valider la valeur TTL reçue.

Solutions de contournement :

1. Définissez la clé de registre ci-dessous pour utiliser l'adaptateur WinTAP (couche 2) au lieu de WinTUN (couche 3) :
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\UseWintun=0 (DWORD)
2. Changez la clé de registre ci-dessous pour passer à un nouveau mode où la route originale n'est pas supprimée.
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\RTNoRemoveMode=1 (DWORD)

Voici les étapes pour éditer/ajouter les clés de registre :

• Ouvrir l'éditeur de registre :

  • Appuyez sur Win + R pour ouvrir la boîte de dialogue Exécuter.
  • Tapez regedit et appuyez sur Entrée. Cela ouvrira l'Éditeur de Registre.

• Accéder à la clé :

  • Dans l'Éditeur de Registre, naviguez jusqu'à HKEY_LOCAL_MACHINE\SOFTWARE.
  • Si la clé CatoNetworksVPN n'existe pas, vous devrez la créer. Cliquez avec le bouton droit sur la clé SOFTWARE, sélectionnez Nouveau, puis choisissez Clé. Nommez la clé CatoNetworksVPN.

• Créer la valeur DWORD :

  • Cliquez avec le bouton droit sur la clé CatoNetworksVPN que vous venez de créer.
  • Sélectionnez Nouveau puis choisissez Valeur DWORD (32 bits).
  • Nommez la nouvelle valeur DWORD UseWintun ou RTNoRemoveMode.

• Définir les données de la valeur :

  • Double-cliquez sur la valeur DWORD UseWintun.
  • Dans le champ "Données de la valeur" approprié, entrez 0 ou 1(sans guillemets).

• Confirmer et fermer :

  • Cliquez sur OK pour enregistrer les modifications.
  • Fermez l'Éditeur de Registre.

• Redémarrez votre client VPN :

  • Redémarrez le client VPN pour que la clé de registre prenne effet.