Dopo un ripristino delle impostazioni di fabbrica, il mio Airport Extreme 2013 non inoltra più il traffico VPN?

Da anni ho ho ospitato una VPN da casa mia con varie versioni di Server.app (attualmente 5.6.3, ultima per High Sierra) su varie versioni di OS X (attualmente 10.13, High Sierra) installate su un Mac Mini, cablate tramite vari hub ethernet / passa a un router Airport Extreme (2013, 6a generazione con versione 7.7.9).

Di recente, lintera mia rete si è interrotta. Prima di accorgermi che ciò era dovuto a un hub a 8 porte che perdeva alimentazione, ho ripristinato le impostazioni di fabbrica del router (alimentazione scollegata, pulsante di ripristino tenuto premuto, collegato allalimentazione, atteso che le luci iniziassero a lampeggiare e router riconfigurato). Né la topologia fisica della mia rete è stata alterata, né gli indirizzi IP dei dispositivi sulla mia rete sono cambiati.

Ora, tutto sembra funzionare tranne VPN. Ho avuto successo nellinoltro di vari servizi (ssh, http, https) dallesterno della rete al Mac Mini. Ho una regola di inoltro per la configurazione VPN sul router (porte UDP 500, 1701, 4500; porta TCP 1723) e il servizio VPN allinterno di Server.App abilitato su Mac Mini. Sono in grado di connettermi al servizio VPN dalla mia rete, ma al di fuori della rete (ad esempio, iPhone su rete cellulare) ricevo il messaggio di errore:

Il server L2TP-VPN non ha risposto. Prova a ricollegarti. Se il problema persiste, verifica le impostazioni e contatta lamministratore.

Il tentativo di cercare le porte aperte sul router dallesterno della rete rivela le porte per il altri servizi (22, 80, 443, ecc.), ma nessuna delle porte VPN (500, 1701, 4500 o 1723). Il tentativo di cercare porte aperte sul Mac Mini dallinterno della rete rivela la stessa situazione. Questo è il caso sia allinterno che allesterno della rete, sia che io utilizzi lIP esterno del mio modem, un nome host dinamico (fornito da ddns.net) o un sottodominio su una voce CNAME per un record DNS su cui ho il controllo.

Non credo che il mio ISP stia bloccando il traffico VPN poiché questa configurazione ha funzionato meno di una settimana prima dellincidente di rete.

Penso che qualcosa sia andato storto sul router. Ho provato queste cose :

  • ha abilitato lo snooping IGMP come suggerito in questo post: Problemi di passthrough VPN con Airport Extreme .
  • Gli intervalli IP garantiti non si sovrappongono (come suggerito anche nel post precedente): cablato statico da .1 a .49; wireless statico da .50 a .99; DHCP da .100 a .199 e VPN su .224 – .254.
  • assicurato che Back To My Mac sia disabilitato sul router e sul Mac Mini (in effetti, non credo che Back To My Mac esista come tale su High Sierra).
  • ha preso il router fuori dal circuito e collegato il Mac mini direttamente al modem via cavo. Le connessioni alla VPN sono riuscite. Ciò conferma che il mio ISP non sta bloccando il traffico VPN, che il server VPN funziona (per client interni ed esterni) e che Airport Extreme è il problema.

Cose che non ho ancora provato:

  • software VPN alternativo (OpenVPN). Penso che la VPN in Server.app funzioni poiché posso collegarmi ad essa sulla rete interna.
  • porte alternative, ad esempio, sul router in avanti da 22 a 500, da 80 a 1701 e da 443 a 4500. Ho non lho provato perché non so come configurare il client VPN per provare a connettersi su queste porte. Inoltre, non sembra possibile configurare il server VPN (almeno quello allinterno di Server.app) per lascolto su porte diverse.

Risposta

Prima controlla le impostazioni su AirPort Extreme per assicurarti che la casella “Consenti autenticazione IPSec in entrata” in “Opzioni di rete …” sotto “Rete” sia selezionato.

Quindi sospetto che quello che è successo sia che il tuo Mac Mini abbia ricevuto un indirizzo IP interno diverso. Ciò potrebbe portare al port forwarding che hanno avuto la configurazione non funzionante più, il che è confermato dal fatto che non puoi vedere il tuo port forwarding della porta TCP 1723 con uno scanner di porte.

Su Mac Mini apri Preferenze di Sistema e Networ k e trova lindirizzo IP interno del tuo Mac Mini. Potrebbe essere ad esempio 192.168.2.10. Quindi controlla i port forwarding su Airport Extreme sotto “Rete” e “Impostazioni porta …”. Assicurati che il campo “Indirizzo IP privato” elenchi lindirizzo IP interno del tuo Mac Mini per tutte le porte correlate alla VPN (porte UDP 500, 1701, 4500 e porta TCP 1723).

Commenti

  • Grazie per la risposta. " Consenti autenticazione IPSec in entrata " non era immediatamente visibile …Ho dovuto prima controllare " Abilita condivisione connessione IPv6 " tramite le " Opzioni Internet " pulsante nella scheda " Internet ", quindi attiva " Blocca le connessioni IPv6 in entrata " su Rete / Opzioni di rete … Tuttavia, le connessioni alla VPN falliscono. Lindirizzo IP del Mac mini ' corrisponde a quello specificato nelle Impostazioni della porta per VPN, entrambi hanno 10.0.1.2 (che era prima che ripristinassi il router: tutti i dispositivi sulla rete sono DHCP con prenotazioni statiche basate sullindirizzo MAC di AirPort Extreme).
  • Installa Wireshark su Mac Mini e lascia che catturi i pacchetti mentre provi a connetterti. Controlla per vedere se passa qualcosa da quelle porte!
  • Sono stato in grado di confermare che le porte 500, 1701, 1723 e 4500 per TCP e UDP possono essere inoltrate tramite il mio router quando si utilizza netcat localmente per ascoltare (nc -ul 500, ecc.) e da remoto (su un host esterno tramite ssh) per connettersi (nc -u $ ip 500, ecc.). Ho anche seguito questo traffico utilizzando WireShark e ho visto tentativi di connessione VPN in Wireshark … sembra che la connessione sia stata negoziata, ma non ha avuto successo. Non ' non vedo alcuna attività in /var/log/ppp/vpnd.log durante i tentativi di connessione non riusciti.

Risposta

Risulta che si trattava di un segreto condiviso errato sui dispositivi esterni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *