Leitet mein Airport Extreme 2013 nach einem Zurücksetzen auf die Werkseinstellungen den VPN-Verkehr nicht mehr weiter?

Seit Jahren ich Ich habe von zu Hause aus ein VPN mit verschiedenen Versionen von Server.app (derzeit 5.6.3, neueste Version für High Sierra) auf verschiedenen Versionen von OS X (derzeit 10.13, High Sierra) gehostet, die auf einem Mac Mini installiert sind und über verschiedene Ethernet-Hubs verkabelt sind. wechselt zu einem Airport Extreme-Router (2013, 6. Generation mit Version 7.7.9).

Vor kurzem ist mein gesamtes Netzwerk ausgefallen. Bevor ich bemerkte, dass dies auf einen 8-Port-Hub zurückzuführen war, der die Stromversorgung verlor, setzte ich den Router auf die Werkseinstellungen zurück (Strom aus der Steckdose, gedrückte Reset-Taste gedrückt, Stromversorgung angeschlossen, darauf gewartet, dass die Lichter zu blinken beginnen, und Router neu konfiguriert). Weder die physische Topologie meines Netzwerks wurde geändert, noch wurden die IP-Adressen der Geräte in meinem Netzwerk geändert.

Jetzt scheint alles außer VPN zu funktionieren. Es ist mir gelungen, verschiedene Dienste (ssh, http, https) von außerhalb des Netzwerks an den Mac Mini weiterzuleiten. Ich habe eine Weiterleitungsregel für die VPN-Einrichtung auf dem Router (UDP-Ports 500, 1701, 4500; TCP-Port 1723) und den auf dem Mac Mini aktivierten VPN-Dienst in Server.App. Ich kann innerhalb meines Netzwerks eine Verbindung zum VPN-Dienst herstellen, aber außerhalb des Netzwerks (z. B. iPhone über Mobilfunknetz) wird folgende Fehlermeldung angezeigt:

Der L2TP-VPN-Server hat nicht geantwortet. Versuchen Sie erneut, die Verbindung herzustellen. Wenn das Problem weiterhin besteht, überprüfen Sie Ihre Einstellungen und wenden Sie sich an Ihren Administrator.

Beim Versuch, von außerhalb des Netzwerks nach offenen Ports auf dem Router zu suchen, werden die Ports für die angezeigt andere Dienste (22, 80, 443 usw.), aber keiner der VPN-Ports (500, 1701, 4500 oder 1723). Der Versuch, innerhalb des Netzwerks nach offenen Ports auf dem Mac Mini zu suchen, zeigt die gleiche Situation. Dies ist sowohl innerhalb als auch außerhalb des Netzwerks der Fall, unabhängig davon, ob ich die externe IP meines Modems, einen dynamischen Hostnamen (bereitgestellt von ddns.net) oder eine Subdomain in einem CNAME-Eintrag für einen DNS-Eintrag verwende, über den ich die Kontrolle habe. P. >

Ich glaube nicht, dass mein ISP den VPN-Verkehr blockiert, da dieses Setup weniger als eine Woche vor dem Netzwerk-Missgeschick funktioniert hat.

Ich denke, auf dem Router ist ein Fehler aufgetreten. Ich habe diese Dinge ausprobiert :

  • hat IGMP-Snooping aktiviert, wie in diesem Beitrag vorgeschlagen: VPN-Passthrough-Probleme mit Airport Extreme .
  • Sichergestellt, dass sich die IP-Bereiche nicht überschneiden (wie auch im obigen Beitrag vorgeschlagen): verkabelte statische Daten von 0,1 bis 0,49, drahtlose statische Daten von 0,50 bis 0,99, DHCP von 100 bis 1,99 und VPN von 0,224 bis 0,254.
  • hat sichergestellt, dass Back To My Mac auf dem Router und dem Mac Mini deaktiviert ist (tatsächlich glaube ich nicht, dass Back To My Mac als solches in High Sierra existiert).
  • Router aus der Schleife und verband den Mac mini direkt mit dem Kabelmodem. Die Verbindung zum VPN war erfolgreich. Dies bestätigt, dass mein ISP den VPN-Verkehr nicht blockiert, dass der VPN-Server funktioniert (für interne und externe Clients) und dass der Airport Extreme das Problem ist.

Dinge, die ich noch nicht habe versucht:

  • alternative VPN-Software (OpenVPN). Ich denke, VPN in Server.app funktioniert, da ich im internen Netzwerk eine Verbindung herstellen kann.
  • Alternative Ports, z. B. auf dem Router weiterleiten 22 bis 500, 80 bis 1701 und 443 bis 4500. Ich habe Ich habe dies nicht versucht, da ich nicht weiß, wie ich den VPN-Client so konfigurieren soll, dass versucht wird, eine Verbindung über diese Ports herzustellen. Es scheint auch nicht möglich zu sein, den VPN-Server (zumindest den in Server.app) so zu konfigurieren, dass er verschiedene Ports überwacht.

Antwort

Überprüfen Sie zunächst die Einstellungen auf dem AirPort Extreme, um sicherzustellen, dass das Feld „Eingehende IPSec-Authentifizierung zulassen“ aktiviert ist. in „Netzwerkoptionen …“ unter „Netzwerk“ ist aktiviert.

Dann vermute ich, dass Ihr Mac Mini eine andere interne IP-Adresse erhalten hat. Dies könnte zu den von Ihnen weitergeleiteten Portweiterleitungen führen Das Setup funktioniert nicht mehr. Dies wird durch die Tatsache bestätigt, dass Sie die Portweiterleitung von TCP-Port 1723 mit einem Port-Scanner nicht sehen können.

Öffnen Sie auf dem Mac Mini die Systemeinstellungen und Networ k und suchen Sie die interne IP-Adresse Ihres Mac Mini. Dies kann beispielsweise 192.168.2.10 sein. Überprüfen Sie dann die Portweiterleitungen auf dem Airport Extreme unter „Netzwerk“ und „Porteinstellungen …“. Stellen Sie sicher, dass im Feld „Private IP-Adresse“ die interne IP-Adresse Ihres Mac Mini für alle VPN-bezogenen Ports (UDP-Ports 500, 1701, 4500 und TCP-Port 1723) aufgeführt ist.

Kommentare

  • Danke für die Antwort. “ Eingehende IPSec-Authentifizierung zulassen “ war nicht sofort sichtbar …Ich musste zuerst “ IPv6-Verbindungsfreigabe aktivieren “ über die “ Internetoptionen “ Schaltfläche auf der “ Internet “ Registerkarte, dann aktivieren Sie “ Blockieren eingehender IPv6-Verbindungen “ in Netzwerk / Netzwerkoptionen … Dennoch schlagen Verbindungen zum VPN fehl. Die IP-Adresse des Mac mini ‚ stimmt mit der in den Porteinstellungen für VPN angegebenen überein. Beide haben 10.0.1.2 (vor dem Zurücksetzen des Routers – alle Geräte im Netzwerk sind DHCP mit statischen Reservierungen basierend auf der MAC-Adresse von AirPort Extreme.
  • Installieren Sie Wireshark auf dem Mac Mini und lassen Sie es Pakete erfassen, während Sie versuchen, eine Verbindung herzustellen. Überprüfen Sie, ob etwas über diese Ports eingeht!
  • Ich konnte bestätigen, dass die Ports 500, 1701, 1723 und 4500 für TCP und UDP über meinen Router weitergeleitet werden können, wenn Netcat lokal zum Abhören verwendet wird (nc) -ul 500 usw.) und remote (auf einem externen Host über ssh), um eine Verbindung herzustellen (nc -u $ ip 500 usw.). Ich habe diesen Datenverkehr auch mit Wireshark verfolgt und VPN-Verbindungsversuche in Wireshark gesehen. Es sieht so aus, als würde die Verbindung ausgehandelt, ist aber nicht erfolgreich. Ich sehe ‚ während der fehlgeschlagenen Verbindungsversuche keine Aktivität in /var/log/ppp/vpnd.log.

Antwort

Es stellte sich heraus, dass es sich um ein falsches gemeinsames Geheimnis auf den externen Geräten handelte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.