Na een fabrieksreset, stuurt mijn Airport Extreme 2013 geen VPN-verkeer meer door?

Jarenlang heb een VPN gehost vanuit mijn huis met verschillende versies van Server.app (momenteel 5.6.3, nieuwste voor High Sierra) op verschillende versies van OS X (momenteel 10.13, High Sierra) geïnstalleerd op een Mac Mini, bedraad via verschillende ethernethubs / schakelt over naar een Airport Extreme-router (2013, 6e generatie met versie 7.7.9).

Onlangs viel mijn hele netwerk uit. Voordat ik merkte dat dit kwam doordat een 8-poorts hub stroom verloor, heb ik de router teruggezet naar de fabrieksinstellingen (stroom uit het stopcontact, resetknop ingedrukt, netstroom aangesloten, gewacht tot de lampjes gingen knipperen en de router opnieuw geconfigureerd). Noch de fysieke topologie van mijn netwerk is niet veranderd, noch zijn de IP-adressen van apparaten op mijn netwerk veranderd.

Nu lijkt alles te werken behalve VPN. Ik heb succes gehad met het doorsturen van verschillende services (ssh, http, https) van buiten het netwerk naar de Mac Mini. Ik heb een doorstuurregel voor VPN-instellingen op de router (UDP-poorten 500, 1701, 4500; TCP-poort 1723) en de VPN-service binnen Server.App is ingeschakeld op de Mac Mini. Ik kan verbinding maken met de VPN-service vanuit mijn netwerk, maar buiten het netwerk (bijv. IPhone via mobiel netwerk) krijg ik de foutmelding:

De L2TP-VPN-server reageerde niet. Probeer opnieuw verbinding te maken. Als het probleem zich blijft voordoen, controleert u uw instellingen en neemt u contact op met uw beheerder.

Als u probeert te scannen naar open poorten op de router van buiten het netwerk, worden de poorten voor de andere services (22, 80, 443, etc.), maar geen van de VPN-poorten (500, 1701, 4500 of 1723). Als je probeert te scannen naar open poorten op de Mac Mini vanuit het netwerk, wordt dezelfde situatie onthuld. Dit is zowel binnen als buiten het netwerk het geval, of ik nu het externe IP-adres van mijn modem, een dynamische hostnaam (geleverd door ddns.net) of een subdomein op een CNAME-item gebruik voor een DNS-record waarover ik controle heb.

Ik denk niet dat mijn ISP VPN-verkeer blokkeert, aangezien deze configuratie minder dan een week voorafgaand aan het netwerkprobleem werkte.

Ik denk dat er iets mis is gegaan met de router. Ik heb deze dingen geprobeerd :

  • IGMP-snooping ingeschakeld zoals voorgesteld in dit bericht: VPN-doorvoerproblemen met Airport Extreme .
  • verzekerde IP-bereiken overlappen elkaar niet (zoals ook wordt gesuggereerd in bovenstaande post): bedraad statisch van .1 – .49; draadloos statisch van .50 – .99; DHCP van .100 – .199, en VPN op .224 – .254.
  • ervoor gezorgd dat Back To My Mac is uitgeschakeld op de router en de Mac Mini (ik geloof inderdaad niet dat Back To My Mac als zodanig bestaat op High Sierra).
  • router uit de lus en verbond de Mac mini rechtstreeks met de kabelmodem. Verbindingen met de VPN zijn geslaagd. Dit bevestigt dat mijn ISP VPN-verkeer niet blokkeert, dat de VPN-server werkt (voor interne en externe clients) en dat de Airport Extreme het probleem is.

Dingen die ik nog niet heb geprobeerd:

  • alternatieve VPN-software (OpenVPN). Ik denk dat VPN in Server.app werkt omdat ik er verbinding mee kan maken op het interne netwerk.
  • alternatieve poorten, bijv. Op de router doorsturen 22 naar 500, 80 naar 1701 en 443 naar 4500. Ik heb ik heb dit niet geprobeerd omdat ik niet weet hoe ik de VPN-client moet configureren om verbinding te maken op deze poorten. Het lijkt ook niet mogelijk om de VPN-server (in ieder geval die binnen Server.app) te configureren om op verschillende poorten te luisteren. / li>

Answer

Controleer eerst de instellingen op de AirPort Extreme om er zeker van te zijn dat het vakje “Inkomende IPSec-authenticatie toestaan” in “Netwerkopties …” onder “Netwerk” is aangevinkt.

Dan vermoed ik dat wat er is gebeurd, is dat uw Mac Mini een ander intern IP-adres heeft ontvangen. Dit zou kunnen leiden tot de poortdoorschakelingen die u de installatie werkte niet meer, wat wordt bevestigd door het feit dat u uw port forwarding van TCP-poort 1723 niet kunt zien met een poortscanner.

Open op de Mac Mini Systeemvoorkeuren en Networ k en zoek het interne IP-adres van uw Mac Mini. Het kan bijvoorbeeld 192.168.2.10 zijn. Controleer vervolgens de port forwardings op de Airport Extreme onder “Network” en “Port Settings …”. Zorg ervoor dat het veld “Private IP Address” het interne IP-adres van uw Mac Mini vermeldt voor alle VPN-gerelateerde poorten (UDP-poorten 500, 1701, 4500 en TCP-poort 1723).

Opmerkingen

  • Bedankt voor het antwoord. " Inkomende IPSec-authenticatie toestaan " was niet onmiddellijk zichtbaar …Ik moest eerst " IPv6-verbindingsdeling inschakelen " via de " internetopties " -knop op het " internet " -tabblad en schakel vervolgens Blokkeer inkomende IPv6-verbindingen " over netwerk- / netwerkopties … Toch mislukken de verbindingen met de VPN. Het IP-adres van de Mac mini ' komt overeen met het adres dat is gespecificeerd in de poortinstellingen voor VPN, beide hebben 10.0.1.2 (wat het was voordat ik de router reset – alle apparaten op het netwerk zijn DHCP met statische reserveringen op basis van het MAC-adres van de AirPort Extreme).
  • Installeer Wireshark op de Mac Mini en laat het pakketten vastleggen terwijl je probeert verbinding te maken. Controleer of er iets via die poorten komt!
  • Ik heb kunnen bevestigen dat poorten 500, 1701, 1723 en 4500 voor TCP en UDP kunnen worden doorgestuurd via mijn router wanneer ik netcat lokaal gebruik om te luisteren (nc -ul 500, enz.) en op afstand (op een externe host via ssh) om verbinding te maken (nc -u $ ip 500, enz.). Ik heb dit verkeer ook gevolgd met behulp van Wireshark, en VPN-verbindingspogingen gezien in Wireshark … het lijkt erop dat er wordt onderhandeld over de verbinding, maar deze is niet succesvol. Ik zie geen ' activiteit in /var/log/ppp/vpnd.log tijdens de mislukte verbindingspogingen.

Antwoord

Blijkt dat het een onjuist gedeeld geheim was op de externe apparaten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *