Suite à une réinitialisation dusine, mon Airport Extreme 2013 ne transmet-il plus le trafic VPN?

Depuis des années je ont hébergé un VPN chez moi avec différentes versions de Server.app (actuellement 5.6.3, dernière pour High Sierra) sur différentes versions dOS X (actuellement 10.13, High Sierra) installées sur un Mac Mini, câblé via divers hubs Ethernet / passe à un routeur Airport Extreme (2013, 6e génération exécutant la version 7.7.9).

Récemment, tout mon réseau est tombé en panne. Avant de remarquer que cela était dû à une perte dalimentation dun concentrateur à 8 ports, jai réinitialisé le routeur en usine (alimentation débranchée, bouton de réinitialisation maintenu enfoncé, alimentation branchée, attendu que les voyants commencent à clignoter et routeur reconfiguré). Ni la topologie physique de mon réseau na été modifiée, ni les adresses IP des appareils de mon réseau.

Maintenant, tout semble fonctionner à lexception du VPN. Jai réussi à transférer divers services (ssh, http, https) de lextérieur du réseau vers le Mac Mini. Jai une règle de transfert pour la configuration VPN sur le routeur (ports UDP 500, 1701, 4500; port TCP 1723) et le service VPN dans Server.App activé sur le Mac Mini. Je peux me connecter au service VPN depuis mon réseau, mais en dehors du réseau (par exemple, iPhone sur réseau cellulaire), je reçois le message derreur:

Le serveur L2TP-VPN na pas répondu. Essayez de vous reconnecter. Si le problème persiste, vérifiez vos paramètres et contactez votre administrateur.

Une tentative de recherche de ports ouverts sur le routeur depuis lextérieur du réseau révèle les ports pour le dautres services (22, 80, 443, etc.), mais aucun des ports VPN (500, 1701, 4500 ou 1723). Tenter de rechercher des ports ouverts sur le Mac Mini depuis lintérieur du réseau révèle la même situation. Cest le cas à la fois à lintérieur et à lextérieur du réseau, que jutilise ladresse IP externe de mon modem, un nom dhôte dynamique (fourni par ddns.net) ou un sous-domaine sur une entrée CNAME pour un enregistrement DNS sur lequel jai le contrôle.

Je ne pense pas que mon FAI bloque le trafic VPN car cette configuration a fonctionné moins dune semaine avant lincident réseau.

Je pense que quelque chose sest mal passé sur le routeur. Jai essayé ces choses :

  • a activé la surveillance IGMP comme suggéré dans cet article: Problèmes de relais VPN avec Airport Extreme .
  • garantis que les plages IP ne se chevauchent pas (comme suggéré également dans larticle ci-dessus): statique câblé de .1 à .49; statique sans fil de .50 à .99; DHCP de .100 à .199 et VPN sur .224 à .254.
  • sest assuré que Back To My Mac est désactivé sur le routeur et le Mac Mini (en effet, je ne crois pas que Back To My Mac existe en tant que tel sur High Sierra).
  • a pris le routeur hors de la boucle et connecté le Mac mini directement au modem câble. Les connexions au VPN ont réussi. Cela confirme que mon FAI ne bloque pas le trafic VPN, que le serveur VPN fonctionne (pour les clients internes et externes) et que Airport Extreme est le problème.

Ce que je nai pas encore essayé:

  • logiciel VPN alternatif (OpenVPN). Je pense que VPN dans Server.app fonctionne car je peux me connecter sur le réseau interne.
  • ports alternatifs, par exemple, sur le routeur en avant 22 à 500, 80 à 1701 et 443 à 4500. Jai pas essayé car je ne sais pas comment configurer le client VPN pour essayer de se connecter sur ces ports. Il ne semble pas non plus possible de configurer le serveur VPN (au moins celui de Server.app) pour écouter sur différents ports.

Réponse

Commencez par vérifier les paramètres sur AirPort Extreme pour vous assurer que la case intitulée « Autoriser lauthentification IPSec entrante » dans « Options réseau … » sous « Réseau » est cochée.

Ensuite, je soupçonne que ce qui sest passé est que votre Mac Mini a reçu une adresse IP interne différente. Cela pourrait entraîner des transferts de port que vous linstallation ne fonctionnait plus, ce qui est confirmé par le fait que vous ne pouvez pas voir votre transfert de port du port TCP 1723 avec un scanner de port.

Sur le Mac Mini, ouvrez les Préférences Système et Networ k et recherchez ladresse IP interne de votre Mac Mini. Cela pourrait être par exemple 192.168.2.10. Vérifiez ensuite les transferts de port sur lAirport Extreme sous « Réseau » et « Paramètres du port … ». Assurez-vous que le champ « Adresse IP privée » répertorie ladresse IP interne de votre Mac Mini pour tous les ports liés au VPN (ports UDP 500, 1701, 4500 et port TCP 1723).

Commentaires

  • Merci pour la réponse. " Autoriser lauthentification IPSec entrante " nétait pas immédiatement visible …Je devais dabord vérifier " Activer le partage de connexion IPv6 " via les " Options Internet " sur longlet " Internet ", puis activez " Bloquer les connexions IPv6 entrantes " sur les Options Réseau / Réseau … Pourtant, les connexions au VPN échouent. Ladresse IP du Mac mini ' correspond à celle spécifiée dans les paramètres de port pour VPN, les deux ont 10.0.1.2 (ce quil était avant de réinitialiser le routeur – tous les appareils du réseau sont DHCP avec réservations statiques basées sur ladresse MAC de lAirPort Extreme).
  • Installez Wireshark sur le Mac Mini et laissez-le capturer les paquets pendant que vous essayez de vous connecter. Vérifiez si quelque chose passe par ces ports!
  • Jai pu confirmer que les ports 500, 1701, 1723 et 4500 pour TCP et UDP peuvent être transférés via mon routeur lorsque vous utilisez netcat localement pour écouter (nc -ul 500, etc.) et à distance (sur un hôte externe via ssh) pour se connecter (nc -u $ ip 500, etc.). Jai également suivi ce trafic à laide de Wireshark, et jai vu des tentatives de connexion VPN dans Wireshark … il semble que la connexion est en cours de négociation, mais na pas réussi. Je ne ' voir aucune activité dans /var/log/ppp/vpnd.log pendant les tentatives de connexion infructueuses.

Réponse

Il sest avéré quil sagissait dun secret partagé incorrect sur les appareils externes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *