Videresender min Airport Extreme 2013 ikke længere VPN-trafik efter en fabriksnulstilling?

I årevis har jeg har hostet en VPN fra mit hjem med forskellige versioner af Server.app (i øjeblikket 5.6.3, senest til High Sierra) på forskellige versioner af OS X (i øjeblikket 10.13, High Sierra) installeret på en Mac Mini, kablet gennem forskellige Ethernet-hubs / skifter til en Airport Extreme-router (2013, 6. generation kører version 7.7.9).

For nylig gik hele mit netværk ned. Før jeg bemærkede, at dette skyldtes, at en 8-port hub mistede strøm, nulstillede jeg fabrikken routeren (frakoblet strøm, holdt nulstillingsknappen nede, tilsluttet strøm, ventede på, at lysene begyndte at blinke og omkonfigurerede routeren). Hverken den fysiske topologi i mit netværk er ikke blevet ændret, og heller ikke IP-adresserne på enheder på mit netværk er blevet ændret.

Nu ser alt ud til at fungere undtagen VPN. Jeg har haft succes med at videresende forskellige tjenester (ssh, http, https) uden for netværket til Mac Mini. Jeg har en videresendelsesregel til VPN-opsætning på routeren (UDP-porte 500, 1701, 4500; TCP-port 1723) og VPN-tjenesten inden for Server.App aktiveret på Mac Mini. Jeg er i stand til at oprette forbindelse til VPN-tjenesten fra mit netværk, men uden for netværket (f.eks. IPhone via mobilnetværk) modtager jeg fejlmeddelelsen:

L2TP-VPN-serveren svarede ikke. Prøv at oprette forbindelse igen. Hvis problemet fortsætter, skal du kontrollere dine indstillinger og kontakte din administrator.

Forsøg på at scanne efter åbne porte på routeren uden for netværket afslører portene til andre tjenester (22, 80, 443 osv.), men ingen af VPN-porte (500, 1701, 4500 eller 1723). Forsøg på at scanne efter åbne porte på Mac Mini inde fra netværket afslører den samme situation. Dette er tilfældet både inden for og uden for netværket, hvad enten jeg bruger mit modems eksterne IP, et dynamisk værtsnavn (leveret af ddns.net) eller et underdomæne på en CNAME-post til en DNS-post, som jeg har kontrol over.

Jeg tror ikke min internetudbyder blokerer VPN-trafik, da denne opsætning fungerede mindre end en uge før netværksuheldet.

Jeg synes, der er gået galt på routeren. Jeg har prøvet disse ting :

  • aktiveret IGMP-snooping som foreslået i dette indlæg: VPN-gennemgangsproblemer med Airport Extreme .
  • sikrede IP-intervaller overlapper ikke (som foreslået også i ovenstående indlæg): kabelforbundet statisk fra .1 – .49; trådløs statisk fra .50 – .99; DHCP fra .100 – .199 og VPN på .224 – .254.
  • sikret Tilbage til min Mac er deaktiveret på routeren og Mac Mini (faktisk tror jeg ikke, at Tilbage til min Mac eksisterer som sådan på High Sierra).
  • tog router ud af sløjfen og tilsluttede Mac mini direkte til kabelmodemet. Forbindelser til VPN lykkedes. Dette bekræfter, at min internetudbyder ikke blokerer VPN-trafik, at VPN-serveren fungerer (for interne og eksterne klienter), og at Airport Extreme er problemet.

Ting, jeg endnu ikke har forsøgt:

  • alternativ VPN-software (OpenVPN). Jeg tror, at VPN i Server.app fungerer, da jeg kan oprette forbindelse til det på det interne netværk.
  • alternative porte, f.eks. På routeren fremad 22 til 500, 80 til 1701 og 443 til 4500. Jeg har ikke prøvet dette, fordi jeg ikke ved, hvordan jeg konfigurerer VPN-klienten til at forsøge at oprette forbindelse på disse porte. Det synes heller ikke muligt at konfigurere VPN-serveren (i det mindste den indenfor Server.app) til at lytte på forskellige porte.

Svar

Kontroller først indstillingerne på AirPort Extreme for at sikre, at feltet mærket “Tillad indgående IPSec-godkendelse” i “Netværksindstillinger …” under “Netværk” er markeret.

Så formoder jeg, at hvad der er sket, er at din Mac Mini har modtaget en anden intern IP-adresse. Dette kan føre til de portvideresendelser, som du har haft opsætningen ikke længere, hvilket bekræftes af, at du ikke kan se din portvideresendelse af TCP-port 1723 med en port scanner.

På Mac Mini åbner du Systemindstillinger og Networ k, og find den interne IP-adresse på din Mac Mini. Det kan f.eks. Være 192.168.2.10. Kontroller derefter portvideresendelser på Airport Extreme under “Netværk” og “Portindstillinger …”. Sørg for, at feltet “Privat IP-adresse” viser den interne IP-adresse på din Mac Mini for alle VPN-relaterede porte (UDP-porte 500, 1701, 4500 og TCP-port 1723).

Kommentarer

  • Tak for svaret. " Tillad indgående IPSec-godkendelse " var ikke umiddelbart synlig …Jeg måtte først kontrollere " Aktivér IPv6-forbindelsesdeling " via " Internetindstillinger " knap på " Internet " fanen, og aktiver derefter " Bloker indkommende IPv6-forbindelser " på netværks- / netværksindstillinger … Alligevel mislykkes forbindelser til VPN. Mac mini ' s IP-adresse matcher den, der er angivet i Portindstillinger for VPN, begge har 10.0.1.2 (som det var før jeg nulstillede routeren – alle enheder på netværket er DHCP med statiske reservationer baseret på MAC-adresse fra AirPort Extreme).
  • Installer Wireshark på Mac Mini, og lad det fange pakker, mens du prøver at oprette forbindelse. Kontroller, om der kommer noget gennem disse porte!
  • Jeg har kunnet bekræfte, at porte 500, 1701, 1723 og 4500 til TCP og UDP kan videresendes via min router, når jeg bruger netcat lokalt til at lytte (nc -ul 500 osv.) og eksternt (på en ekstern vært via ssh) for at oprette forbindelse (nc -u $ ip 500 osv.). Jeg har også fulgt denne trafik ved hjælp af wireshark og set VPN-forbindelsesforsøg i Wireshark … det ser ud til, at forbindelsen forhandles, men det lykkes ikke. Jeg kan ikke ' ikke se nogen aktivitet i /var/log/ppp/vpnd.log under de mislykkede forbindelsesforsøg.

Svar

Viser sig, at det var en forkert delt hemmelighed på de eksterne enheder.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *