Po obnovení továrního nastavení přestane moje Airport Extreme 2013 předávat provoz VPN?

Po léta jsem hostili VPN z mého domova s různými verzemi Server.app (aktuálně 5.6.3, nejnovější pro High Sierra) na různých verzích OS X (aktuálně 10.13, High Sierra) nainstalovaných na Mac Mini, připojených přes různé ethernetové rozbočovače / přepne na router Airport Extreme (2013, 6. generace se spuštěnou verzí 7.7.9).

Nedávno došlo k výpadku celé mé sítě. Než jsem si všiml, že to bylo kvůli ztrátě napájení rozbočovače s 8 porty, resetoval jsem router z výroby (odpojil napájení, podržel resetovací tlačítko, připojil napájení, počkal, až začnou blikat kontrolky, a překonfiguroval router). Fyzická topologie mé sítě nebyla změněna ani se nezměnily adresy IP zařízení v mé síti.

Nyní se zdá, že vše funguje, kromě VPN. Úspěšně jsem přeposílal různé služby (ssh, http, https) mimo síť na Mac Mini. Mám pravidlo pro předávání pro nastavení VPN na routeru (porty UDP 500, 1701, 4500; port TCP 1723) a službu VPN v rámci Server.App povolena na Mac Mini. Jsem schopen se připojit ke službě VPN z mé sítě, ale mimo síť (např. IPhone přes mobilní síť) se mi zobrazuje chybová zpráva:

Server L2TP-VPN neodpověděl. Zkuste se znovu připojit. Pokud problém přetrvává, ověřte svá nastavení a kontaktujte svého správce.

Pokus o skenování otevřených portů na routeru mimo síť odhalí porty pro další služby (22, 80, 443 atd.), ale žádný z portů VPN (500, 1701, 4500 nebo 1723). Pokus o skenování otevřených portů na Mac Mini zevnitř sítě odhalí stejnou situaci. To je případ uvnitř i vně sítě, ať už používám externí IP modem, dynamický název hostitele (poskytovaný ddns.net) nebo subdoménu na záznamu CNAME pro záznam DNS, nad kterým mám kontrolu.

Nemyslím si, že můj ISP blokuje provoz VPN, protože toto nastavení fungovalo méně než týden před nehodou v síti.

Myslím, že se na routeru něco pokazilo. Vyzkoušel jsem tyto věci :

  • povoleno IGMP Snooping, jak je navrženo v tomto příspěvku: problémy s průchodem VPN s Airport Extreme .
  • zajištěné rozsahy IP se nepřekrývají (jak je navrženo také ve výše uvedeném příspěvku): drátové statické připojení od 0,1 do 0,49; bezdrátové statické připojení od 0,50 do 0,99; DHCP od 0,100 do 0,199 a VPN na 222 až 254.
  • zajištěno, že Back To My Mac je na routeru a Mac Mini deaktivován (opravdu nevěřím, že Back To My Mac jako takový na High Sierra existuje).
  • převzal router mimo smyčku a připojil Mac mini přímo ke kabelovému modemu. Připojení k síti VPN proběhlo úspěšně. To potvrzuje, že můj ISP neblokuje provoz VPN, že server VPN funguje (pro interní a externí klienty) a že problémem je Airport Extreme.

Věci, které jsem dosud neměl vyzkoušeno:

  • alternativní software VPN (OpenVPN). Myslím, že VPN v Server.app funguje, protože se k ní mohu připojit v interní síti.
  • alternativní porty, např. Na routeru vpřed 22 až 500, 80 až 1701 a 443 až 4500. Mám nezkoušel jsem to, protože nevím, jak nakonfigurovat klienta VPN, aby se pokusil připojit na tyto porty. Zdá se také, že není možné nakonfigurovat server VPN (alespoň ten v Server.app), aby naslouchal na různých portech.

Odpověď

Nejprve zkontrolujte nastavení na AirPort Extreme a ujistěte se, že pole označené „Povolit příchozí ověření IPSec“ v části „Možnosti sítě …“ v části „Síť“ zaškrtnuto.

Pak mám podezření, že se stalo, že váš Mac Mini obdržel jinou interní IP adresu. To by mohlo vést k přesměrování portů, které již instalace nefungovala, což potvrzuje skutečnost, že nevidíte přesměrování portů TCP portu 1723 pomocí skeneru portů.

V systému Mac Mini otevřete Předvolby systému a Networ k a najděte interní IP adresu vašeho Mac Mini. Může to být například 192.168.2.10. Poté zkontrolujte přesměrování portů na letišti Extreme v části „Síť“ a „Nastavení portu …“. Zkontrolujte, zda je v poli „Soukromá adresa IP“ uvedena interní adresa IP vašeho počítače Mac Mini pro všechny porty související s VPN (porty UDP 500, 1701, 4500 a port TCP 1723).

Komentáře

  • Děkujeme za odpověď. " Povolit příchozí ověření IPSec " nebylo okamžitě viditelné …Musel jsem nejprve zkontrolovat " Povolit sdílení připojení IPv6 " prostřednictvím " Možnosti Internetu " na kartě " Internet " a poté povolit " Blokovat příchozí připojení IPv6 " v části Možnosti sítě / sítě … Přesto připojení k síti VPN selhávají. Adresa IP Mac mini ' se shoduje s IP adresou uvedenou v Nastavení portu pro VPN, oba mají 10.0.1.2 (což bylo před resetováním routeru – všechna zařízení v síti jsou DHCP se statickými rezervacemi na základě MAC adresy z AirPort Extreme).
  • Nainstalujte Wireshark na Mac Mini a nechte jej zachytit pakety, když se pokoušíte připojit. Zkontrolujte, zda přes tyto porty něco prochází!
  • Byl jsem schopen potvrdit, že porty 500, 1701, 1723 a 4500 pro TCP a UDP mohou být předávány přes můj router při použití netcat lokálně k poslechu (nc -ul 500 atd.) a vzdáleně (na externím hostiteli přes ssh) pro připojení (nc -u $ ip 500 atd.). Také jsem sledoval tento provoz pomocí Wireshark a viděl pokusy o připojení VPN ve Wireshark … vypadá to, že připojení je vyjednáno, ale není úspěšné. Během neúspěšných pokusů o připojení nevidím ' žádnou aktivitu v /var/log/ppp/vpnd.log.

Odpověď

Ukázalo se, že se jednalo o nesprávné sdílené tajemství na externích zařízeních.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *