Após uma redefinição de fábrica, meu Airport Extreme 2013 não está mais encaminhando tráfego VPN?
Por anos eu hospedei uma VPN de minha casa com várias versões de Server.app (atualmente 5.6.3, mais recente para High Sierra) em várias versões do OS X (atualmente 10.13, High Sierra) instalado em um Mac Mini, conectado por meio de vários hubs Ethernet / muda para um roteador Airport Extreme (2013, 6ª geração executando a versão 7.7.9).
Recentemente, toda a minha rede caiu. Antes de perceber que isso ocorria devido à perda de energia de um hub de 8 portas, eu reinicializei o roteador (desconectei a energia, segurei o botão reset, conectei a energia, esperei as luzes começarem a piscar e reconfigurei o roteador). Nem a topologia física da minha rede foi alterada, nem os endereços IP dos dispositivos na minha rede mudaram.
Agora, tudo parece estar funcionando, exceto VPN. Tive sucesso no encaminhamento de vários serviços (ssh, http, https) de fora da rede para o Mac Mini. Eu tenho uma regra de encaminhamento para a configuração de VPN no roteador (portas UDP 500, 1701, 4500; porta TCP 1723) e o serviço VPN em Server.App ativado no Mac Mini. Consigo me conectar ao serviço VPN de dentro da minha rede, mas fora da rede (por exemplo, iPhone pela rede celular), recebo a mensagem de erro:
O servidor L2TP-VPN não respondeu. Tente reconectar. Se o problema continuar, verifique suas configurações e entre em contato com o administrador.
A tentativa de escanear portas abertas no roteador de fora da rede revela as portas para o outros serviços (22, 80, 443, etc.), mas nenhuma das portas VPN (500, 1701, 4500 ou 1723). A tentativa de escanear portas abertas no Mac Mini de dentro da rede revela a mesma situação. Esse é o caso tanto dentro quanto fora da rede, quer eu use o IP externo do meu modem, um nome de host dinâmico (fornecido por ddns.net) ou um subdomínio em uma entrada CNAME para um registro DNS sobre o qual tenho controle.
Não acho que meu ISP esteja bloqueando o tráfego VPN, pois esta configuração funcionou menos de uma semana antes do acidente de rede.
Acho que algo deu errado no roteador. Tentei fazer essas coisas :
- habilitou IGMP Snooping conforme sugerido nesta postagem: Problemas de passagem de VPN com Airport Extreme .
- intervalos de IP garantidos não se sobrepõem (como sugerido também na postagem acima): estática com fio de .1 – .49; estática sem fio de .50 – .99; DHCP de .100 – .199 e VPN em .224 – .254.
- assegurado que o Back To My Mac esteja desativado no roteador e no Mac Mini (na verdade, não acredito que o Back To My Mac exista como tal no High Sierra).
- roteador fora do circuito e conectou o Mac mini diretamente ao modem a cabo. As conexões à VPN foram bem-sucedidas. Isso confirma que meu ISP não está bloqueando o tráfego VPN, que o servidor VPN está funcionando (para clientes internos e externos) e que o Airport Extreme é o problema.
Coisas que ainda não tentei:
- software VPN alternativo (OpenVPN). Acho que a VPN em Server.app está funcionando porque posso me conectar a ela na rede interna.
- portas alternativas, por exemplo, no roteador, encaminhar 22 a 500, 80 a 1701 e 443 a 4500. Eu tenho não tentei fazer isso porque não sei como configurar o cliente VPN para tentar se conectar a essas portas. Também parece não ser possível configurar o servidor VPN (pelo menos aquele em Server.app) para escutar em portas diferentes.
Resposta
Primeiro verifique as configurações no AirPort Extreme para garantir que a caixa com o rótulo “Permitir autenticação IPSec de entrada” em “Opções de rede …” em “Rede” está marcada.
Então, suspeito que o que aconteceu é que o seu Mac Mini recebeu um endereço IP interno diferente. Isso pode levar ao encaminhamento de portas que você teve a configuração não funcionando mais, o que é confirmado pelo fato de que você não pode ver o encaminhamento de porta TCP 1723 com um scanner de porta.
No Mac Mini, abra System Preferences and Networ k, e encontre o endereço IP interno do seu Mac Mini. Pode ser, por exemplo, 192.168.2.10. Em seguida, verifique os encaminhamentos de porta no Airport Extreme em “Rede” e “Configurações da porta …”. Certifique-se de que o campo “Endereço IP privado” lista o endereço IP interno do seu Mac Mini para todas as portas relacionadas à VPN (portas UDP 500, 1701, 4500 e porta TCP 1723).
Comentários
- Obrigado pela resposta. " Permitir autenticação IPSec de entrada " não estava imediatamente visível …Tive que verificar primeiro " Ativar compartilhamento de conexão IPv6 " por meio das " Opções de Internet " botão na guia " Internet " e ative " Bloquear conexões IPv6 de entrada " nas opções de rede / rede … Mesmo assim, as conexões com a VPN falham. O endereço IP do Mac mini ' s corresponde ao especificado nas configurações da porta para VPN, ambos têm 10.0.1.2 (que era antes de eu reiniciar o roteador – todos os dispositivos na rede são DHCP com reservas estáticas baseadas no endereço MAC do AirPort Extreme).
- Instale o Wireshark no Mac Mini e deixe-o capturar pacotes enquanto você tenta se conectar. Verifique se algo passa por essas portas!
- Consegui confirmar que as portas 500, 1701, 1723 e 4500 para TCP e UDP podem ser encaminhadas através do meu roteador ao usar o netcat localmente para ouvir (nc -ul 500, etc.) e remotamente (em um host externo via ssh) para conectar (nc -u $ ip 500, etc). Eu também acompanhei esse tráfego usando o WireShark e vi tentativas de conexão VPN no Wireshark … parece que a conexão está sendo negociada, mas sem sucesso. Não ' não vejo nenhuma atividade em /var/log/ppp/vpnd.log durante as tentativas de conexão com falha.
Resposta
Acontece que era um segredo compartilhado incorreto nos dispositivos externos.