A gyári beállítások visszaállítását követően az Airport Extreme 2013 nem továbbítja a VPN forgalmat?

Évek óta otthonaimból származó VPN-t üzemeltettek a Server.app különféle verzióival (jelenleg 5.6.3, legfrissebb a High Sierra-hoz) az OS X (jelenleg 10.13, High Sierra) különböző verzióin, Mac Mini-re telepítve, különféle Ethernet hubokon keresztül vezetékes / Airport Extreme útválasztóra vált (2013, 6. generációs 7.7.9 verzió fut).

Nemrégiben a teljes hálózatom leállt. Mielőtt észrevettem, hogy ennek oka egy 8 portos hub áramellátása volt, gyárilag visszaállítottam az útválasztót (áramtalanítottam, lenyomva tartottam a reset gombot, csatlakoztattam az áramot, vártam, hogy a jelzőfények villogni kezdenek, és újrakonfiguráltam az útválasztót). Sem a hálózatom fizikai topológiája, sem a hálózatomban lévő eszközök IP-címe nem változott.

Úgy tűnik, hogy a VPN kivételével minden működik. Sikeresen továbbítottam különféle szolgáltatásokat (ssh, http, https) a hálózaton kívülről a Mac Mini-ba. Van egy továbbítási szabályom a router VPN-beállításához (500, 1701, 4500 UDP portok, 1723 TCP portok) és a Server VPN szolgáltatásához. A Mac mini engedélyezve van. A hálózatomon belül csatlakozhatok a VPN szolgáltatáshoz, de a hálózaton kívül (pl. IPhone mobiltelefonon keresztül) megkapom a hibaüzenetet:

Az L2TP-VPN szerver nem válaszolt. Próbálja újra csatlakozni. Ha a probléma továbbra is fennáll, ellenőrizze a beállításokat, és vegye fel a kapcsolatot az adminisztrátorral.

Ha megpróbálja megkeresni az útválasztó nyitott portjait a hálózaton kívülről, felfedik a egyéb szolgáltatások (22, 80, 443 stb.), de egyik VPN-port sem (500, 1701, 4500 vagy 1723). Ugyanezt a helyzetet tárja fel a Mac Mini Mini hálózaton belüli nyitott portjainak megkísérlése. Ez a helyzet a hálózaton belül és kívül egyaránt, függetlenül attól, hogy használom-e a modem külső IP-jét, egy dinamikus hosztnevet (amelyet a ddns.net szolgáltat), vagy egy aldomain-t használok egy CNAME bejegyzésnél egy olyan DNS-rekordhoz, amely felett rendelkezem.

Nem hiszem, hogy az internetszolgáltatóm blokkolná a VPN forgalmat, mivel ez a beállítás kevesebb mint egy héttel működött a hálózati baleset előtt.

Azt hiszem, valami nem stimmelt az útválasztón. Próbáltam ezeket a dolgokat :

  • engedélyezte az IGMP szimatolását, amint ezt a bejegyzés javasolja: VPN áthaladással kapcsolatos problémák az Airport Extreme-vel .
  • az IP-tartományok nem fedik egymást (amint azt a fenti bejegyzés is javasolja): vezetékes statikus .1 – .49; vezeték nélküli statikus .50 – .99; DHCP .100 – .199 és VPN on .224 – .254.
  • biztosította, hogy a Back To My Mac le van tiltva az útválasztón és a Mac Mini-n (sőt, nem hiszem, hogy a Back To My Mac létezik a High Sierrán).
  • routert a hurokból, és a Mac mini-t közvetlenül a kábelmodemhez csatlakoztatta. A VPN-hez való csatlakozás sikerült. Ez megerősíti, hogy az internetszolgáltatóm nem blokkolja a VPN forgalmat, hogy a VPN szerver működik (belső és külső ügyfelek számára), és hogy az Airport Extreme a probléma.

Olyan dolgok, amiket még nem megpróbálta:

  • alternatív VPN szoftver (OpenVPN). Úgy gondolom, hogy a Server.app VPN-je működik, mivel csatlakozhatok hozzá a belső hálózaton.
  • alternatív portok, pl. A routeren 22–500, 80–1701 és 443–4500. nem próbáltam meg, mert nem tudom, hogyan állítsam be a VPN-klienst a csatlakozás megkísérléséhez ezeken a portokon. Úgy tűnik, hogy a VPN-kiszolgálót (legalábbis a Server.app-en belül) nem lehet úgy konfigurálni, hogy különböző portokon hallgasson. / li>

Válasz

Először ellenőrizze az AirPort Extreme beállításait, hogy megbizonyosodjon arról, hogy az “Engedélyezze a bejövő IPSec hitelesítést” felirat a “Hálózati beállítások …” részben a “Hálózat” alatt van bejelölve.

Akkor gyanítom, hogy az történt, hogy a Mac Mini más belső IP-címet kapott. Ez a port átirányításához vezethet. a telepítés már nem működik, amit megerősít az a tény, hogy nem láthatja az 1723-as TCP-port továbbítását portolvasóval.

A Mac Mini rendszeren nyissa meg a Rendszerbeállításokat és a Networ-t k, és keresse meg a Mac Mini belső IP-címét. Lehet például a 192.168.2.10. Ezután ellenőrizze az Airport Extreme port továbbítását a “Hálózat” és a “Port beállítások …” alatt. Győződjön meg arról, hogy a “Privát IP-cím” mező felsorolja a Mac Mini belső IP-címét az összes VPN-hez kapcsolódó porton (UDP 500, 1701, 4500 és 1723 TCP port).

Megjegyzések

  • Köszönöm a választ. " Bejövő IPSec-hitelesítés engedélyezése " nem volt azonnal látható …Először meg kellett vizsgálnom az " IPv6-kapcsolatmegosztás engedélyezését " az " Internetbeállítások " gomb a " Internet " fülön, majd engedélyezze a " Blokkolja a bejövő IPv6-kapcsolatokat " a Hálózat / Hálózati beállítások között … Mégis, a VPN-hez való csatlakozás sikertelen. A Mac mini ' IP-címe megegyezik a VPN Portbeállításaiban megadottal, mindkettő 10.0.1.2-es (amely az útválasztó visszaállítása előtt volt – a hálózat összes eszköze DHCP statikus foglalásokkal az AirPort Extreme MAC-címe alapján).
  • Telepítse a Wiresharkot a Mac Mini-ra, és hagyja, hogy a csomagok elkapják, miközben megpróbál kapcsolódni. Ellenőrizze, nem jön-e valami ezeken a portokon keresztül!
  • Meg tudtam erősíteni, hogy a TCP és az UDP 500, 1701, 1723 és 4500 portjai továbbíthatók-e az útválasztón keresztül, ha a netcat helyben történő használatára hallgat (nc -ul 500 stb.) és távolról (külső gépen az ssh-n keresztül) a csatlakozáshoz (nc -u $ ip 500 stb.). Ezt a forgalmat is követtem a wireshark segítségével, és láttam VPN-kapcsolati kísérleteket a Wireshark-ban … úgy tűnik, hogy a kapcsolatot tárgyalják, de nem sikerül. A sikertelen kapcsolódási kísérletek során <

nem látok semmilyen tevékenységet a /var/log/ppp/vpnd.log fájlban.

Válasz

Kiderült, hogy helytelen megosztott titok volt a külső eszközökön.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük