win2k VPN server: packet loss door rras service

Ik heb al tijden een win2k server draaien die als VPN server dient.
Deze week heb ik het ip subnet van onze vestiging moeten veranderen, op verzoek van it afdeling nieuwe eigenaar.

Het volgende is het geval:
server heeft 2 nic's, 1 lan en 1 internet. Beide een vast adres gegeven. Gateway alleen op de internet nic opgegeven. Persistent routes gemaakt voor wan naar overige vestigingen. Alles werkt zonder route and remote access service geconfigureerd te hebben. Pingen naar internet adressen en naar lokale adressen werkt.

Echter zodra ik rras configureer als VPN server, dan kan ik:
- geen internet adressen pingen: not reachable
- opeens veel timeouts op interne netwerk en naarmate tijd vordert steeds meer.

Deconfigureer ik de rras service weer, dan werken beide netwerken weer.

Ik kan helaas een soortgelijk probleem niet vinden op het internet, dus hopelijk heeft hier iemand een idee?

Ik ben al 1,5 dag bezig om dit op te lossen, denk er nu aan om de server (die gelukkig verder geen andere taak heeft) opnieuw te installeren.

rectificatie: dat er niets op het internet verbinding gepinged kan worden, dat klopt natuurlijk ivm de filters die standaard worden aangemaakt. De vpn client van een XP laptop maakt wel contact met de VPN server, maar omdat de AD server niet kan worden bereikt, wordt de client niet geauthenticeerd. Gisteren had ik collega's die een VPN verbinding hadden, ook te zien op de server als clients, maar niet te pingen.

Brahiewahiewa: heb net al die route toegevoegd in de rras mmc maar dat lijkt niet veel te verbeteren.

Edit:

Ik vermoed dat het met dit te maken heeft, You cannot connect to a Windows 2000-based virtual private network (VPN) server if one or more of the network routers do not support packet fragmentation Hoe kan ik die hotfix krijgen zonder een support call met Microsoft te maken?

[ Voor 14% gewijzigd door Quantor op 25-10-2007 16:55 ]

Bedankt, heb via email de hotfix aangevraagd. Heb ook gelijk aan m'n collega's van het hoofdkantoor gevraagd om bij degene die onze nieuwe router heeft geconfigureerd (dat is weer iemand van het bedrijf van de nieuwe eigenaar) na te vragen of het niet accepteren van fragmented packets inderdaad de oorzaak kan zijn. Echt kl*te dat ik niet meer zelf zeggenschap heb over m'n routers, tijd om een andere werkgever te zoeken.

Hotfix heeft jammer genoeg niet geholpen. Probleem ligt volgens mij aan de nieuwe cisco routers ( of misschien zelfs aan de switches config). Als ik de server aan een losse switch hang, dan heb ik geen problemen met packet loss.

Betreft m'n werk, ik heb veel minder dan 100 man, totaal zo'n 40 incl. andere vestigingen die ik ook ondersteunde. Maar bijna alles is me afgenomen, AS400 is al een tijdje weg en nu is er zelfs sprake dat ze de lokale file en emailservers willen centraliseren in de UK. Eigenlijk had ik al een tijd geleden weg moeten gaan. Mooie is nog dat de mensen in UK die vroeger het voor het zeggen hadden, nu zelf ook weinig meer in te brengen hebben. En ook leuk is dat ik net pas heb begrepen dat de IT afdeling van het nieuwe moederbedrijf slechts bestaat uit 2 man (waarvan 1 op vakantie). De totale IT van "mijn" bedrijf bestond uit minstens 10 man over heel europa, daarvan zijn er al een stuk of 4 weg.

Nadat ik heb gedreigd (in hoeverre dat indruk maakte weet ik niet) om de nieuwe switches door de oude te vervangen, is er gelijk een engelsman op mijn probleem gezet. Die kreeg het voor elkaar door een paar (voor mij onbekende) netwerksettings te veranderen om de server stabiel te krijgen, totdat iemand met vpn verbindt, dan klapt het interne netwerk in elkaar. Toen gooide hij het op hardware failure (tuurlijk die server draait pas 2 jaar zonder een probleem totdat jullie het netwerk veranderen).

Heb nu een Watchguard Firebox, nog een overblijfsel van een ander project, geinstalleerd en daarmee de MUVPN client geprobeerd en dat lijkt te lukken, zelfs met de standaard netwerk settings zoals ook de windows vpn server was geinstalleerd. Aangezien we waarschijnlijk in korte termijn naar een Citrix omgeving gaan, laat ik dit maar hangen en ga snel verder met m'n zelfstudie.