Videresender ikke Airport Extreme 2013 etter en tilbakestilling til fabrikken lenger VPN-trafikk?
I mange år har jeg har vært vert for en VPN hjemmefra med forskjellige versjoner av Server.app (for tiden 5.6.3, siste for High Sierra) på forskjellige versjoner av OS X (for tiden 10.13, High Sierra) installert på en Mac Mini, kablet gjennom forskjellige Ethernet-hubber / bytter til en Airport Extreme-ruter (2013, 6. generasjon som kjører versjon 7.7.9).
Nylig gikk hele nettverket mitt ned. Før jeg la merke til at dette var på grunn av at et 8-port-hub mistet strøm, tilbakestilte jeg ruteren fra fabrikken (koblet fra strøm, holdt nede reset-knappen, koblet til strøm, ventet på at lys skulle begynne å blinke og omkonfigurerte ruteren). Verken den fysiske topologien i nettverket mitt er ikke endret, og heller ikke IP-adressene til enhetene i nettverket mitt er endret.
Nå ser alt ut til å fungere bortsett fra VPN. Jeg har hatt suksess med å videresende forskjellige tjenester (ssh, http, https) fra utenfor nettverket til Mac Mini. Jeg har en videresendingsregel for VPN-oppsett på ruteren (UDP-porter 500, 1701, 4500; TCP-port 1723) og VPN-tjenesten i Server.App aktivert på Mac Mini. Jeg er i stand til å koble til VPN-tjenesten fra nettverket mitt, men utenfor nettverket (f.eks. IPhone via mobilnett) får jeg feilmeldingen:
L2TP-VPN-serveren svarte ikke. Prøv å koble til på nytt. Hvis problemet vedvarer, må du kontrollere innstillingene og kontakte administratoren.
Forsøk på å søke etter åpne porter på ruteren utenfor nettverket avslører portene for andre tjenester (22, 80, 443 osv.), men ingen av VPN-portene (500, 1701, 4500 eller 1723). Forsøk på å skanne etter åpne porter på Mac Mini fra nettverket avslører den samme situasjonen. Dette er tilfelle både i og utenfor nettverket, enten jeg bruker modemets eksterne IP, et dynamisk vertsnavn (levert av ddns.net) eller et underdomenen på en CNAME-oppføring for en DNS-post jeg har kontroll over.
Jeg tror ikke Internett-leverandøren min blokkerer VPN-trafikk ettersom dette oppsettet fungerte mindre enn en uke før nettverksulykket.
Jeg tror noe har gått galt på ruteren. Jeg har prøvd disse tingene :
- aktivert IGMP snooping som foreslått i dette innlegget: VPN-gjennomgangsproblemer med Airport Extreme .
- sikrede IP-områder overlapper ikke (som foreslått også i innlegget ovenfor): kablet statisk fra .1 – .49; trådløs statisk fra .50 – .99; DHCP fra .100 – .199, og VPN på .224 – .254.
- sørget for at Back To My Mac er deaktivert på ruteren og Mac Mini (faktisk tror jeg ikke Back To My Mac eksisterer som sådan på High Sierra).
- tok ruteren ut av løkken og koblet Mac mini direkte til kabelmodemet. Tilkoblinger til VPN lykkes. Dette bekrefter at Internett-leverandøren min ikke blokkerer VPN-trafikk, at VPN-serveren fungerer (for interne og eksterne klienter), og at Airport Extreme er problemet.
Ting jeg ikke har ennå prøvd:
- alternativ VPN-programvare (OpenVPN). Jeg tror VPN i Server.app fungerer slik jeg kan koble til det på det interne nettverket.
- alternative porter, f.eks. På ruteren fremover 22 til 500, 80 til 1701 og 443 til 4500. Jeg har ikke prøvd dette fordi jeg ikke vet hvordan jeg skal konfigurere VPN-klienten til å prøve å koble til på disse portene. Det virker heller ikke mulig å konfigurere VPN-serveren (i det minste den innen Server.app) til å lytte på forskjellige porter.
Svar
Kontroller først innstillingene på AirPort Extreme for å sikre at ruten merket «Tillat innkommende IPSec-autentisering» i «Nettverksalternativer …» under «Nettverk» er sjekket.
Da mistenker jeg at det som har skjedd er at Mac Mini-maskinen din har mottatt en annen intern IP-adresse. Dette kan føre til portoverføringene som du har hatt oppsett som ikke fungerer lenger, noe som bekreftes av at du ikke kan se portoverføring av TCP-port 1723 med en portskanner.
På Mac Mini åpner du Systemvalg og Networ k, og finn den interne IP-adressen til Mac Mini. Det kan for eksempel være 192.168.2.10. Kontroller deretter portoverføringene på Airport Extreme under «Nettverk» og «Portinnstillinger …». Forsikre deg om at feltet «Privat IP-adresse» viser den interne IP-adressen til Mac Mini for alle VPN-relaterte porter (UDP-porter 500, 1701, 4500 og TCP-port 1723).
Kommentarer
- Takk for svaret. " Tillat innkommende IPSec-autentisering " var ikke umiddelbart synlig …Jeg måtte først sjekke " Aktiver IPv6-tilkoblingsdeling " via " Internettalternativer " -knappen på " Internett " -fanen, og aktiver deretter " Blokker innkommende IPv6-tilkoblinger " på nettverks- / nettverksalternativer … Likevel mislykkes tilkoblinger til VPN. Mac mini ' s IP-adresse samsvarer med den som er spesifisert i Portinnstillinger for VPN, begge har 10.0.1.2 (som det var før jeg tilbakestiller ruteren – alle enhetene i nettverket er DHCP med statiske reservasjoner basert på MAC-adresse fra AirPort Extreme).
- Installer Wireshark på Mac Mini og la den fange pakker mens du prøver å koble til. Sjekk om noe kommer gjennom disse portene!
- Jeg har klart å bekrefte at portene 500, 1701, 1723 og 4500 for TCP og UDP kan videresendes gjennom ruteren min når jeg bruker netcat lokalt for å lytte (nc -ul 500, etc.) og eksternt (på en ekstern vert via ssh) for å koble til (nc -u $ ip 500, etc). Jeg har også fulgt denne trafikken ved hjelp av wireshark, og sett VPN-tilkoblingsforsøk i Wireshark … det ser ut som om forbindelsen blir forhandlet, men er ikke vellykket. Jeg ser ikke ' noen aktivitet i /var/log/ppp/vpnd.log under mislykkede tilkoblingsforsøk.
Svar
Viser seg at det var en feil delt hemmelighet på de eksterne enhetene.