問題

Windowsは、ユーザーがインターネットに正常にアクセスできるにもかかわらず、EthernetやWiFiリンクでインターネット接続がないと報告します。 これにより、Office 365のセットアップなど、さまざまなMicrosoftの機能が正常に動作しない可能性があります。

Windowsネットワーク接続性ステータスインジケーター（NCSI）を使用してアクティブおよびパッシブプロービングを行うチェックは、Windows PCがCatoに接続されているときに失敗することがあります。

環境

Cato VPNを介して接続されたソケットの背後のWindows PC。

トラブルシューティング

Windowsが新しいネットワークに接続するとき、それは一連のタスクを含むアクティブプローブを使用してインターネット接続を確認します。 インターネット接続があると判断した後、Windowsは接続がアクティブである限りパッシブプローブに切り替えます。

以下は各種類のプローブのトラブルシューティング手順の一部です：

1. アクティブプロービング

Windowsはアクティブプローブを使用して、各ネットワークインタフェースでインターネット接続が可能であることを検証し、その後、ネットワーク接続性ステータスインジケーター（NCSI）を更新します。 アクティブプローブ中、WindowsはいくつかのMicrosoft DNS サーバーをプローブし、応答を使用してアクティブなインターネット接続を判断します。 

詳細情報はNCSIアクティブプローブとネットワークステータスアラートを参照してください

Windows 10またはそれ以降のバージョンの場合：

• NCSIはDNS要求を送信してwww.msftconnecttest.comのFQDNを解決します。

• NCSIがDNSサーバーから有効な応答を受け取った場合、NCSIはhttp://www.msftconnecttest.com/connecttest.txtにプレーンなHTTPプロトコルGET要求を送信します。

• NCSIがテキストファイルを正常にダウンロードした場合、ファイルにMicrosoft Connect Testが含まれていることを確認します。

• NCSIはDNS要求を再び送信してdns.msftncsi.comのFQDNを解決します。

  • これらの要求のいずれかが失敗すると、タスクバーにネットワークアラートが表示されます。 アイコンにカーソルを合わせると、"No connectivity"または"Limited Internet access"などのメッセージが表示されます（どのリクエストが失敗したかによります）。
  • これらのリクエストがすべて成功した場合、タスクバーには通常のネットワークアイコンが表示されます。 アイコンにカーソルを合わせると、"インターネットアクセス"のようなメッセージが表示されます。

Windowsがインターネット接続がないと表示するレポートを受け取った場合、上記の接続のどれが失敗しているかを確認してください。 PCAPを取得してイベント/フローを確認することは、検証するための一つの方法です。

NCSIのログ記録を確認します

以下の方法を使用してアクティブなNCSIチェックをログに記録することも可能です：

• 次のコマンドを入力してトレースを開始します：

netsh trace start scenario=NetConnection tracefile=noint.etl

• 問題を再現してください（ネットワークからクライアントを切断して再接続します）その後、次のコマンドでトレースを停止します：

netsh trace stop

• 以下は、トレースファイルで見つかる情報の例です：

アクティブプローブをブロックするレジストリの設定

Windowsのレジストリ設定でアクティブプローブがブロックされる可能性があり、その場合、Windowsは完全にパッシブプロービングに依存します。

以下のキーにデフォルトのWindows値があることを確認してください：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"WinHttpSettings"=hex:18,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

以下の例では、システムプロキシがGPOを通じて"WinHttpSettings"レジストリキーを変更しており、これにより、Windowsが自動的に設定するデフォルト値を上書きするこの16進数のレジストリ値をインポートしています。 これによってアクティブプローブが失敗する原因となります。

2. パッシブプロービング

ライブネットワークトラフィックはキャプチャされて分析されますが、ネットワークに干渉することなく、つまり外部にパケットを送信しません。 パッシブプロービングはTCP/UDPパケットのIPヘッダー内のTTL（生存時間）を見ており、パケットがコンピュータに到達するまでの"ホップ数"を決定することができます。 8以上のホップを持つパケットは、インターネット接続性があると見なされます。

カトのTCPプロキシは、以下に示すようにIPヘッダーのTTLを96に設定します。 受信したTTL値を確認するために、Windowsマシン上でパケットキャプチャを実行できます。

回避策：

1. 以下のレジストリキーを設定して、WinTUN（レイヤー3）ではなくWinTAP（レイヤー2）アダプタを使用します：
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\UseWintun=0 (DWORD)
2. 以下のレジストリキーを変更して元のルートが削除されない新しいモードに切り替えます。
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\RTNoRemoveMode=1 (DWORD)

以下の手順でレジストリキーを編集または追加します：

• レジストリ編集者を開く：

  • Win + Rを押して、実行ダイアログを開きます。
  • regeditをタイプして、Enterを押します。 これでレジストリエディターが開きます。

• キーへのナビゲーション：

  • レジストリエディターで、HKEY_LOCAL_MACHINE\SOFTWAREへナビゲートします。
  • CatoNetworksVPNキーが存在しない場合、それを作成する必要があります。 SOFTWAREキーを右クリックし、新規を選択し、キーを選択します。 キーの名前をCatoNetworksVPNにします。

• DWORD値を作成する：

  • 作成したばかりのCatoNetworksVPNキーを右クリックします。
  • 新規を選択し、DWORD (32ビット) 値を選択します。
  • 新しいDWORD値の名前をUseWintunまたはRTNoRemoveModeにします。

• 値データを設定する：

  • UseWintun DWORD値をダブルクリックします。
  • 適切な"値データ"フィールドに0または1を入力します（引用符なし）。

• 確認して閉じる：

  • OKをクリックして変更を保存します。
  • レジストリエディターを閉じます。

• VPNクライアントを再起動：

  • レジストリキーを有効にするためにVPNクライアントを再起動します。