Después de un restablecimiento de fábrica, ¿mi Airport Extreme 2013 ya no reenvía el tráfico de VPN?

Durante años he alojado una VPN desde mi casa con varias versiones de Server.app (actualmente 5.6.3, la última para High Sierra) en varias versiones de OS X (actualmente 10.13, High Sierra) instaladas en un Mac Mini, conectadas a través de varios concentradores ethernet / cambia a un enrutador Airport Extreme (2013, sexta generación con la versión 7.7.9).

Recientemente, toda mi red se cayó. Antes de darme cuenta de que esto se debía a que un concentrador de 8 puertos estaba perdiendo energía, restablecí de fábrica el enrutador (desconecté la energía, mantuve presionado el botón de reinicio, enchufé la energía, esperé a que las luces comenzaran a parpadear y reconfiguré el enrutador). Ni la topología física de mi red no ha sido alterada, ni las direcciones IP de los dispositivos en mi red han cambiado.

Ahora, todo parece estar funcionando excepto VPN. He tenido éxito al reenviar varios servicios (ssh, http, https) desde fuera de la red al Mac Mini. Tengo una regla de reenvío para la configuración de VPN en el enrutador (puertos UDP 500, 1701, 4500; puerto TCP 1723) y el servicio VPN dentro de Server.App habilitado en Mac Mini. Puedo conectarme al servicio VPN desde dentro de mi red, pero fuera de la red (p. Ej., IPhone a través de la red celular) Recibo el mensaje de error:

El servidor L2TP-VPN no respondió. Intente volver a conectarse. Si el problema continúa, verifique su configuración y comuníquese con su administrador.

Si intenta buscar puertos abiertos en el enrutador desde fuera de la red, se revelan los puertos para el otros servicios (22, 80, 443, etc.), pero ninguno de los puertos VPN (500, 1701, 4500 o 1723). Intentar buscar puertos abiertos en el Mac Mini desde dentro de la red revela la misma situación. Este es el caso tanto dentro como fuera de la red, ya sea que use la IP externa de mi módem, un nombre de host dinámico (proporcionado por ddns.net) o un subdominio en una entrada CNAME para un registro DNS sobre el que tengo control.

No creo que mi ISP esté bloqueando el tráfico VPN, ya que esta configuración funcionó menos de una semana antes del percance de la red.

Creo que algo salió mal en el enrutador. He probado estas cosas :

  • habilitó IGMP Snooping como se sugiere en esta publicación: Problemas de paso a través de VPN con Airport Extreme .
  • Los rangos de IP asegurados no se superponen (como se sugiere también en la publicación anterior): estática cableada de .1 – .49; estática inalámbrica de .50 – .99; DHCP de .100 – .199 y VPN en .224 – .254.
  • se aseguró de que Back To My Mac esté deshabilitado en el enrutador y la Mac Mini (de hecho, no creo que Back To My Mac exista como tal en High Sierra).
  • enrutador fuera del bucle y conectó el Mac mini directamente al cable módem. Las conexiones a la VPN se realizaron correctamente. Esto confirma que mi ISP no está bloqueando el tráfico de VPN, que el servidor VPN está funcionando (para clientes internos y externos) y que Airport Extreme es el problema.

Cosas que aún no tengo probado:

  • software VPN alternativo (OpenVPN). Creo que VPN en Server.app está funcionando, ya que puedo conectarme a él en la red interna.
  • puertos alternativos, por ejemplo, en el enrutador hacia adelante 22 a 500, 80 a 1701 y 443 a 4500. Tengo No intenté esto porque no sé cómo configurar el cliente VPN para intentar conectarme en estos puertos. Tampoco parece posible configurar el servidor VPN (al menos el de Server.app) para escuchar en diferentes puertos.

Responder

Primero, verifique la configuración de AirPort Extreme para asegurarse de que la casilla «Permitir la autenticación IPSec entrante» en «Opciones de red …» en «Red» está marcado.

Entonces sospecho que lo que ha sucedido es que su Mac Mini ha recibido una dirección IP interna diferente. Esto podría conducir a los reenvíos de puerto que usted La configuración ya no funciona, lo que se confirma por el hecho de que no puede ver el reenvío de puertos del puerto TCP 1723 con un escáner de puertos.

En Mac Mini, abra Preferencias del sistema y Networ ky busque la dirección IP interna de su Mac Mini. Podría ser, por ejemplo, 192.168.2.10. Luego, verifique los reenvíos de puertos en Airport Extreme en «Red» y «Configuración de puertos …». Asegúrese de que el campo «Dirección IP privada» enumere la dirección IP interna de su Mac Mini para todos los puertos relacionados con VPN (puertos UDP 500, 1701, 4500 y puerto TCP 1723).

Comentarios

  • Gracias por la respuesta. " Permitir la autenticación IPSec entrante " no era visible de inmediato …Primero tuve que verificar " Habilitar conexión compartida IPv6 " a través de las " Opciones de Internet " en la pestaña " Internet ", luego habilita " Bloquear conexiones IPv6 entrantes " en Red / Opciones de red … Aún así, las conexiones a la VPN fallan. La dirección IP del Mac mini ' coincide con la especificada en la Configuración de puerto para VPN, ambos tienen 10.0.1.2 (que era antes de restablecer el enrutador; todos los dispositivos de la red son DHCP con reservas estáticas basadas en la dirección MAC del AirPort Extreme).
  • Instale Wireshark en el Mac Mini y deje que capture paquetes mientras intenta conectarse. ¡Verifique si algo pasa a través de esos puertos!
  • He podido confirmar que los puertos 500, 1701, 1723 y 4500 para TCP y UDP se pueden reenviar a través de mi enrutador al usar netcat localmente para escuchar -ul 500, etc.) y de forma remota (en un host externo a través de ssh) para conectarse (nc -u $ ip 500, etc.). También he seguido este tráfico mediante Wireshark y he visto intentos de conexión VPN en Wireshark … parece que la conexión se está negociando, pero no ha tenido éxito. No ' no veo ninguna actividad en /var/log/ppp/vpnd.log durante los intentos fallidos de conexión.

Respuesta

Resulta que era un secreto compartido incorrecto en los dispositivos externos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *