Как понять, кто блокирует пакеты на определенный порт?

Question

[khataev]

Есть два компьютера A и Б. Когда компьютер А (сервер с Windows Server 2008 R2) был, грубо говоря, в одной сети - в момент настройки, то он принимал входящие VPN подключения. Причем я тестировал разные сценарии, когда А и Б были как в одной локальной сети, так и Б стучался через интернет. Затем я переместил А на место его боевой эксплуатации (то есть на сервере ничего не менялось) и соединения теперь не устанавливаются. Может так быть, что это провайдер как-то режет трафик на порты ВПН (1723)? Хотя, например, по RDP я подключаюсь к нему свободно. Компьютер А подключен к интернету сейчас напрямую через PPPoE соединение (временно, пока нет роутера, в перспективе к инету будет подключаться и раздавать его, как обычно, роутер).
Я сетевик посредственный, грешу либо на провайдера, либо дело в чем-то другом и как запасной вариант - подождать пока появится роутер, организовать проброс портов на нем, вдруг так заработает.
А вообще в идеале, по теме вопроса, можно ли с помощью tracert, а точнее его аналогов на OS X выявить, на какой стадии маршрута режется траффик на порт ВПН? Сетевая утилита в Мак Оси вообще не видит ни одного открытого порта на компьютере А, хотя тот же порт RDP 3389 открыт.

UPD: ПОхоже я разобрался ,в чем причина. Так как комп пока что подключен напрямую без роутера и использует общий доступ к интернету ICS, то маршрутизация, втч настроенная на прием VPN не работает. Жду, как роутер поставим

Answer 1

[Владимир Дубровин]

traceroute -P TCP -p 1723 IP

Но скорее всего, проблема не в блокировке порта. PPTP помимо порта TCP/1723 использует протокол GRE, если ваш провайдер использует NAT, то в нем требуется специальная поддержка NAT для GRE, если ее нет, то соединение не установится. Если у вас запрашивается и принимается логин с паролем, а потом не устанавливается соединение - то проблема именно в этом. Возможные варианты решения - использовать SSTP вместо PPTP (в Mac OS X скорей всего надо ставить сторонний клиент).

Comments

[Maksim]

кстати тут вопрос не в тему, какой клиент под SSTP под мак посоветуете, дельного вроде пока нет ничего?

[Владимир Дубровин]

Maksim: не могу посоветовать, не пробовал. Можете еще смотреть в сторону любых SSL VPN, например OpenVPN.

[khataev]

Владимир Дубровин: Попробовал команду на открытом порту, трассировка не идет, как объясните? screenshot.ru/upload/image/Wlex

[Владимир Дубровин]

khataev: скорей всего требуются повышенные привилегии. И еще пакет может теряться на последнем хопе (не показывать конечный узел) - это нормально для TCP traceroute.

[khataev]

через sudo - тот же результат, при чем как видно на картинке, это не только последний хоп. И еще - провайдер уверяет, что они ничего не блокируют

Answer 2

[CityCat4]

Провайдер запросто может резать 1723, если это мобильный провайдер. Для них это вообще в порядке вещей. Также очень часто блокируют 1723 в гостиницах. Можно поставить wireshark и посмотреть - приходит ли что-нибудь в момент начала соединения.