Eikö Airport Extreme 2013 enää lähetä tehdasasetusten palautusta VPN-liikennettä?
Vuosien ajan olen ovat isännöineet kotini VPN: tä useilla Server.app-versioilla (tällä hetkellä 5.6.3, uusin High Sierralle) useilla OS X -versioilla (tällä hetkellä 10.13, High Sierra), jotka on asennettu Mac Mini -laitteeseen, johdotettu eri ethernet-keskittimien kautta / vaihtaa Airport Extreme -reitittimeen (2013, 6. sukupolvi, versio 7.7.9).
Viime aikoina koko verkkoni katkesi. Ennen kuin huomasin, että tämä johtui 8-porttisen keskittimen menettämästä virtaa, palautin reitittimen tehdasasetukset (irrotettu virta, pidetty nollauspainike alhaalla, kytketty virta, odotin, että valot alkavat vilkkua, ja määritin reitittimen uudelleen). Verkkoni fyysistä topologiaa ei ole muutettu eikä verkkoni laitteiden IP-osoitteita ole muutettu.
Kaikki näyttää toimivan paitsi VPN. Olen onnistunut välittämään useita palveluita (ssh, http, https) verkon ulkopuolelta Mac Miniin. Minulla on reitittimen VPN-asetusten edelleenlähetyssääntö (UDP-portit 500, 1701, 4500; TCP-portti 1723) ja VPN-palvelu Server.App-sovelluksessa käytössä Mac Mini. Voin muodostaa yhteyden VPN-palveluun verkkoni kautta, mutta verkon ulkopuolella (esim. IPhone solukkoverkon kautta) saan virheilmoituksen:
L2TP-VPN-palvelin ei vastannut. Yritä muodostaa yhteys uudelleen. Jos ongelma jatkuu, tarkista asetukset ja ota yhteyttä järjestelmänvalvojaan.
Yritettäessä etsiä avoimia portteja reitittimeltä verkon ulkopuolelta paljastetaan portit muut palvelut (22, 80, 443 jne.), mutta mikään VPN-portista (500, 1701, 4500 tai 1723). Yritetään etsiä avoimia portteja Mac Mini -laitteesta verkon sisällä paljastaa saman tilanteen. Näin on sekä verkon sisällä että sen ulkopuolella riippumatta siitä, käytänkö modeemin ulkoista IP-osoitetta, dynaamista isäntänimeä (tarjoaa ddns.net) vai aliverkkotunnusta CNAME-merkinnässä DNS-tietueelle, jota hallitsen.
En usko, että Internet-palveluntarjoajani estää VPN-liikennettä, koska tämä asennus toimi alle viikkoa ennen verkon epäonnistumista.
Luulen, että reitittimessä on mennyt pieleen. Olen kokeillut näitä asioita :
- otti käyttöön IGMP-seurannan, kuten tässä viestissä ehdotetaan: VPN-läpivirtausongelmat Airport Extremen kanssa .
- varmistettu, että IP-alueet eivät ole päällekkäisiä (kuten ehdotetaan myös yllä olevassa viestissä): kiinteä staattinen välillä .1 – .49; langaton staattinen: .50 – .99; DHCP: n välillä .100 – .199 ja VPN: ssä .224 – .254.
- varmistettu, että Back To My Mac on poistettu käytöstä reitittimessä ja Mac Minissä (en todellakaan usko, että Back To My Mac on olemassa sellaisenaan High Sierralla).
- otti reititin ulos silmukasta ja liittänyt Mac minin suoraan kaapelimodeemiin. Yhteydet VPN: ään onnistuivat. Tämä vahvistaa, että Internet-palveluntarjoajani ei estä VPN-liikennettä, että VPN-palvelin toimii (sisäisille ja ulkoisille asiakkaille) ja että Airport Extreme on ongelma.
Asiat, joita en vielä ole yritti:
- vaihtoehtoinen VPN-ohjelmisto (OpenVPN). Luulen, että VPN palvelimessa Server.app toimii, koska voin muodostaa yhteyden siihen sisäisessä verkossa.
- vaihtoehtoiset portit, esim. Reitittimessä eteenpäin 22-500, 80-1701 ja 443-4500. Minulla on ei kokeillut tätä, koska en tiedä miten VPN-asiakasohjelma määritetään yrittämään muodostaa yhteyttä näihin portteihin. Näyttää myös siltä, ettei VPN-palvelinta (ainakin Server.app: n palvelinta) voida määrittää kuuntelemaan eri porteissa. / li>
Vastaa
Tarkista ensin AirPort Extremen asetukset, että ”Salli saapuvan IPSec-todennuksen” -ruutu ”Verkkoasetukset …” -kohdassa ”Verkko” on valittu.
Sitten epäilen, että tapahtui, että Mac Mini on saanut toisen sisäisen IP-osoitteen. Tämä voi johtaa portin edelleenlähettämiseen. Asennus ei ole enää toiminut, minkä vahvistaa se, että et näe TCP-portin 1723 porttisi edelleenlähetystä porttiskannerilla.
Avaa Mac Mini -käyttöjärjestelmässä Järjestelmäasetukset ja Networ k ja etsi Mac Minin sisäinen IP-osoite. Se voi olla esimerkiksi 192.168.2.10. Tarkista sitten porttien edelleenlähetys Airport Extremen kohdista ”Verkko” ja ”Portin asetukset …”. Varmista, että kentässä ”Yksityinen IP-osoite” on lueteltu Mac Minin sisäinen IP-osoite kaikille VPN-liitännöille (UDP-portit 500, 1701, 4500 ja TCP-portti 1723).
Kommentit
- Kiitos vastauksesta. " Saapuvan IPSec-todennuksen salliminen " ei ollut heti näkyvissä …Minun oli ensin tarkistettava " Ota IPv6-yhteyden jakaminen käyttöön " " Internet-asetukset " -painike " Internet " -välilehdellä ja ota sitten käyttöön " Estä saapuvat IPv6-yhteydet " verkko- / verkkoasetuksissa … Silti yhteydet VPN: ään epäonnistuvat. Mac minin ' IP-osoite vastaa VPN-portin asetuksissa määritettyä IP-osoitetta, molemmilla on 10.0.1.2 (mikä oli ennen reitittimen nollaamista – kaikki verkon laitteet ovat DHCP, jossa on staattisia varauksia AirPort Extremen MAC-osoitteen perusteella).
- Asenna Wireshark Mac Mini -laitteeseen ja anna sen siepata paketteja, kun yrität muodostaa yhteyttä. Tarkista, tuleeko mitään näiden porttien kautta!
- Olen pystynyt varmistamaan, että TCP: n ja UDP: n portit 500, 1701, 1723 ja 4500 voidaan välittää reitittimen kautta käytettäessä netcatia paikallisesti kuuntelemiseen (nc -ul 500 jne.) ja etänä (ulkoisella isännällä ssh: n kautta) yhteyden muodostamiseksi (nc -u $ ip 500 jne.). Olen myös seurannut tätä liikennettä wiresharkilla ja nähnyt VPN-yhteysyrityksiä Wiresharkissa … näyttää siltä, että yhteys neuvotellaan, mutta ei onnistu. En näe ' epäonnistuneiden yhteysyritysten aikana mitään toimintoa /var/log/ppp/vpnd.logissa.
Vastaus
Osoittautui, että se oli virheellinen jaettu salaisuus ulkoisissa laitteissa.