Czy po przywróceniu ustawień fabrycznych mój Airport Extreme 2013 nie przekazuje już ruchu VPN?
Od lat ja hostowałem VPN z mojego domu z różnymi wersjami Server.app (obecnie 5.6.3, najnowsza dla High Sierra) na różnych wersjach OS X (obecnie 10.13, High Sierra) zainstalowanych na Macu Mini, połączonych przez różne koncentratory Ethernet / przełącza się na router Airport Extreme (2013, 6. generacja z wersją 7.7.9).
Ostatnio cała moja sieć uległa awarii. Zanim zauważyłem, że jest to spowodowane utratą zasilania przez 8-portowy koncentrator, zresetowałem router do ustawień fabrycznych (odłączone zasilanie, przytrzymany przycisk resetowania, podłączony do zasilania, czekałem, aż lampki zaczną migać i ponownie skonfigurowałem router). Ani fizyczna topologia mojej sieci nie została zmieniona, ani adresy IP urządzeń w mojej sieci nie uległy zmianie.
Wygląda na to, że wszystko działa, z wyjątkiem VPN. Udało mi się przekazywać różne usługi (ssh, http, https) spoza sieci do komputera Mac Mini. Mam regułę przekierowania dla konfiguracji VPN na routerze (porty UDP 500, 1701, 4500; port TCP 1723) i usługę VPN w aplikacji Server.App na Macu Mini. Mogę połączyć się z usługą VPN z mojej sieci, ale poza nią (np. IPhone przez sieć komórkową) pojawia się komunikat o błędzie:
Serwer L2TP-VPN nie odpowiedział. Spróbuj połączyć się ponownie. Jeśli problem nie ustąpi, sprawdź ustawienia i skontaktuj się z administratorem.
Próba wyszukania otwartych portów na routerze spoza sieci ujawnia porty dla inne usługi (22, 80, 443 itd.), ale żaden z portów VPN (500, 1701, 4500 lub 1723). Próba wyszukania otwartych portów na komputerze Mac Mini z wnętrza sieci ujawnia tę samą sytuację. Dzieje się tak zarówno w sieci, jak i poza nią, niezależnie od tego, czy używam zewnętrznego adresu IP modemu, dynamicznej nazwy hosta (dostarczonej przez ddns.net) czy subdomeny we wpisie CNAME dla rekordu DNS, nad którym mam kontrolę.
Nie sądzę, aby mój dostawca Internetu blokował ruch VPN, ponieważ ta konfiguracja działała mniej niż tydzień przed awarią sieci.
Myślę, że coś poszło nie tak z routerem. Próbowałem tych rzeczy :
- włączone IGMP Snooping, zgodnie z sugestią w tym poście: Problemy z przekazywaniem VPN przez Airport Extreme .
- Zapewnione zakresy adresów IP nie nakładają się (jak sugerowano również w powyższym poście): statyczne przewodowe od .1 do .49; statyczne bezprzewodowe od .50 – .99; DHCP od .100 do .199 i VPN na .224 – .254.
- zapewnił, że funkcja Back To My Mac jest wyłączona na routerze i komputerze Mac Mini (nie sądzę, aby funkcja Back To My Mac istniała jako taka w High Sierra).
- wziął routera z pętli i podłączono komputer Mac mini bezpośrednio do modemu kablowego. Udało się nawiązać połączenie z VPN. Potwierdza to, że mój dostawca usług internetowych nie blokuje ruchu VPN, że serwer VPN działa (dla klientów wewnętrznych i zewnętrznych) i że problem stanowi Airport Extreme.
Rzeczy, których jeszcze nie mam wypróbowano:
- alternatywne oprogramowanie VPN (OpenVPN). Myślę, że VPN w Server.app działa, ponieważ mogę połączyć się z nim w sieci wewnętrznej.
- alternatywne porty, np. Router forward 22 do 500, 80 do 1701 i 443 do 4500. Mam nie próbowałem tego, ponieważ nie wiem, jak skonfigurować klienta VPN, aby próbował łączyć się na tych portach. Wydaje się również, że nie jest możliwe skonfigurowanie serwera VPN (przynajmniej tego w Server.app) do nasłuchiwania na różnych portach.
Odpowiedź
Najpierw sprawdź ustawienia w AirPort Extreme, aby upewnić się, że pole „Zezwalaj na przychodzące uwierzytelnianie IPSec” w polu „Opcje sieci…” pod „Sieć” jest zaznaczone.
Podejrzewam, że to, co się stało, to że Twój Mac Mini otrzymał inny wewnętrzny adres IP. Może to prowadzić do przekierowania portów, konfiguracja już nie działa, co potwierdza fakt, że nie możesz zobaczyć przekierowania portu TCP 1723 za pomocą skanera portów.
W Mac Mini otwórz Preferencje systemowe i Sieć k i znajdź wewnętrzny adres IP komputera Mac Mini. Może to być na przykład 192.168.2.10. Następnie sprawdź przekierowania portów w Airport Extreme w „Network” i „Port Settings…”. Upewnij się, że w polu „Prywatny adres IP” znajduje się wewnętrzny adres IP komputera Mac Mini dla wszystkich portów związanych z VPN (porty UDP 500, 1701, 4500 i port TCP 1723).
Komentarze
- Dziękuję za odpowiedź. " Zezwalaj na przychodzące uwierzytelnianie IPSec " nie było od razu widoczne …Najpierw musiałem sprawdzić " Włącz udostępnianie połączenia IPv6 " za pomocą " Opcji internetowych " na karcie " Internet ", a następnie włącz " Blokuj przychodzące połączenia IPv6 " w opcjach sieci / sieci … Mimo to połączenia z VPN kończą się niepowodzeniem. Adres IP komputera Mac mini ' jest zgodny z adresem określonym w ustawieniach portu dla sieci VPN, oba mają wersję 10.0.1.2 (tak było przed zresetowaniem routera – wszystkie urządzenia w sieci są DHCP z rezerwacjami statycznymi na podstawie adresu MAC z AirPort Extreme).
- Zainstaluj Wireshark na Macu Mini i pozwól mu przechwytywać pakiety podczas próby połączenia. Sprawdź, czy cokolwiek nie przechodzi przez te porty!
- Udało mi się potwierdzić, że porty 500, 1701, 1723 i 4500 dla TCP i UDP mogą być przekazywane przez mój router, gdy używam netcata lokalnie do nasłuchiwania (nc -ul 500 itd.) i zdalnie (na zewnętrznym hoście przez ssh) w celu połączenia (nc -u $ ip 500, itd.). Śledziłem również ten ruch za pomocą wireshark i widziałem próby połączenia VPN w Wireshark … wygląda na to, że połączenie jest negocjowane, ale nie powiodło się. Nie ' nie widzę żadnej aktywności w /var/log/ppp/vpnd.log podczas nieudanych prób połączenia.
Odpowiedź
Okazuje się, że był to nieprawidłowy wspólny sekret na urządzeniach zewnętrznych.