Проблема

Windows сообщает, что нет подключения к Интернету по Ethernet или WiFi, хотя пользователь может успешно выходить в Интернет. Это также может привести к неправильной работе различных функций Microsoft, таких как настройка Office 365.

Проверки индикатора состояния сети (NCSI) Windows с использованием активного и пассивного зондирования могут неудачно завершиться, когда ПК с Windows подключен к Cato.

Среда

ПК с Windows за сокетом или подключенный через Cato VPN.

Устранение неполадок

Когда Windows подключается к новому сетевому интерфейсу, он использует активное зондирование, которое включает в себя ряд задач, для проверки возможности Интернет-соединения. После определения подключения Windows переключается на пассивное зондирование, пока соединение остается активным.

Ниже приведены шаги по устранению неполадок для каждого типа зондирования:

1. Активное зондирование

Windows использует активное зондирование для проверки, возможно ли Интернет-соединение на каждый сетевой интерфейс, а затем обновляет индикатор состояния сетевого подключения (NCSI). Во время активного зондирования Windows проверяет несколько серверов DNS Microsoft и использует ответы, чтобы определить, активно ли Интернет-соединение. 

Для получения дополнительных сведений см.: Активные зонды NCSI и сеть с оповещением о статусе

Для Windows 10 или более поздних версий:

• NCSI отправляет запрос DNS, чтобы определить адрес www.msftconnecttest.com полное доменное имя (FQDN).

• Если NCSI получает действительный ответ от DNS-сервера, NCSI отправляет простой запрос HTTP GET на http://www.msftconnecttest.com/connecttest.txt.

• Если NCSI успешно загружает текстовый файл, он проверяет, что файл содержит Microsoft Connect Test.

• NCSI отправляет еще один DNS-запрос на определение адреса dns.msftncsi.com полное доменное имя (FQDN).

  • Если любой из этих запросов не удается, в панели задач появляется оповещение о сети. Если навести курсор на значок, появляется сообщение, например, "Отсутствие соединения" или "Ограниченный доступ к Интернету" (в зависимости от того, какие запросы не удались).
  • Если все эти запросы проходят успешно, в панели задач отображается обычный значок сети. Если навести курсор на значок, появляется сообщение, например, "Доступ в Интернет".

Если вы получаете отчеты о том, что Windows показывает отсутствие подключения к Интернету, проверьте, не завершаются ли ошибки при соединении, упомянутые выше. Снятие PCAP и проверка событий/потоков может быть одним из способов проверки.

Проверка журналирования NCSI

Также можно использовать следующий метод для журналирования активных проверок NCSI:

• Начните трассировку команды:

netsh trace start scenario=NetConnection tracefile=noint.etl

• Теперь воспроизведите проблему (отключите, а затем снова подключите клиента от сети) и затем остановите трассировку с помощью команды:

netsh trace stop

• Ниже приведен пример информации, которую можно найти в файле трассировки:

Настройка реестра Windows, блокирующая активные зонды

Возможно, активные зонды могут быть заблокированы настройкой реестра Windows, и в этом случае Windows будет полностью полагаться на пассивное зондирование.

Убедитесь, что следующий ключ имеет по умолчанию значение Windows:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"WinHttpSettings"=hex:18,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

В следующем примере системный прокси изменил ключ реестра "WinHttpSettings" через GPO, что приводит к импорту этого шестнадцатеричного значения реестра, которое переопределяет значение по умолчанию, которое Windows автоматически устанавливает. Это приведет к сбою активного зондирования.

2. Пассивное зондирование

Снимается и анализируется активный сетевой трафик, не вмешиваясь в сеть, то есть без отправки каких-либо пакетов. Пассивное зондирование обращает внимание на TTL (время жизни) в заголовке IP пакетов TCP/UDP, который может определить, сколько "прыжков" пакет совершил, чтобы достичь компьютера. Пакет с более чем 8 прыжками считается имеющим доступ в Интернет.

TCP-прокси Cato установил бы TTL в заголовке IP на 96, как показано ниже. Захват пакетов можно выполнить на ПК с Windows, чтобы проверить полученное значение TTL.

Решения обхода:

1. Установите нижеупомянутый ключ реестра, чтобы использовать адаптер WinTAP (уровень 2) вместо WinTUN (уровень 3):
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\UseWintun=0 (DWORD)
2. Измените указанный ниже ключ реестра, чтобы переключиться на новый режим, в котором исходный маршрут не удаляется.
   Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN\RTNoRemoveMode=1 (DWORD)

Ниже приведены шаги для редактирования/добавления ключей реестра:

• Откройте Редактор Реестра:

  • Нажмите Win + R, чтобы открыть диалоговое окно "Выполнить".
  • Введите regedit и нажмите Enter. Это откроет Редактор Реестра.

• Перейдите к ключу:

  • В Редакторе Реестра перейдите в HKEY_LOCAL_MACHINE\SOFTWARE.
  • Если ключ CatoNetworksVPN не существует, вам нужно будет его создать. Щелкните правой кнопкой мыши по ключу SOFTWARE, выберите Новый, а затем выберите Ключ. Назовите ключ CatoNetworksVPN.

• Создайте значение DWORD:

  • Щелкните правой кнопкой мыши на только что созданном ключе CatoNetworksVPN.
  • Выберите Новый, а затем выберите DWORD (32-битное) значение.
  • Назовите новое значение DWORD UseWintun или RTNoRemoveMode.

• Установите значение данных:

  • Дважды щелкните на значении DWORD UseWintun.
  • В соответствующем поле "Значение данных" введите 0 или 1(без кавычек).

• Подтвердить и закрыть:

  • Нажмите ОК, чтобы сохранить изменения.
  • Закройте Редактор Реестра.

• Перезапустите Ваш VPN Клиент:

  • Перезапустите VPN клиент, чтобы изменения в реестре вступили в силу.