După o resetare din fabrică, Airport Extreme 2013 nu mai redirecționează trafic VPN?

De ani de zile I am găzduit un VPN de acasă cu diverse versiuni de Server.app (în prezent 5.6.3, cea mai recentă pentru High Sierra) pe diferite versiuni de OS X (în prezent 10.13, High Sierra) instalate pe un Mac Mini, prin cablu prin diferite hub-uri ethernet / trece la un router Airport Extreme (2013, a 6-a generație care rulează versiunea 7.7.9).

Recent, întreaga mea rețea a intrat în funcțiune. Înainte de a observa că acest lucru se datorează unui hub cu 8 porturi care pierde puterea, am resetat din fabrică routerul (alimentarea deconectată, butonul de resetare apăsat, conectat la alimentare, așteptat să se aprindă luminile intermitente și reconfigurarea routerului). Nici topologia fizică a rețelei mele nu a fost modificată și nici nu s-au schimbat adresele IP ale dispozitivelor din rețeaua mea.

Acum, totul pare să funcționeze, cu excepția VPN. Am reușit să redirecționez diverse servicii (ssh, http, https) din afara rețelei către Mac Mini. Am o regulă de redirecționare pentru configurarea VPN pe router (porturile UDP 500, 1701, 4500; portul TCP 1723) și serviciul VPN din Server.App activat pe Mac Mini. Mă pot conecta la serviciul VPN din rețeaua mea, dar în afara rețelei (de exemplu, iPhone prin rețea de celule) primesc mesajul de eroare:

Serverul L2TP-VPN nu a răspuns. Încercați să vă reconectați. Dacă problema continuă, verificați setările și contactați administratorul.

Încercarea de a căuta porturi deschise de pe router din afara rețelei, dezvăluie porturile pentru alte servicii (22, 80, 443 etc.), dar niciunul dintre porturile VPN (500, 1701, 4500 sau 1723). Încercarea de a căuta porturi deschise pe Mac Mini din interiorul rețelei relevă aceeași situație. Acesta este cazul atât în interiorul, cât și în afara rețelei, indiferent dacă folosesc IP-ul extern al modemului meu, un nume de gazdă dinamic (furnizat de ddns.net) sau un subdomeniu pe o intrare CNAME pentru o înregistrare DNS pe care am control.

Nu cred că ISP-ul meu blochează traficul VPN, deoarece această configurare a funcționat cu mai puțin de o săptămână înainte de accidentul de rețea.

Cred că ceva nu a funcționat bine pe router. Am încercat aceste lucruri :

  • a activat IGMP Snooping după cum este sugerat în această postare: Probleme de trecere VPN cu Airport Extreme .
  • intervalele IP asigurate nu se suprapun (așa cum este sugerat și în postarea de mai sus): statică cu fir de la .1 – .49; statică fără fir de la .50 – .99; DHCP de la .100 – .199 și VPN pe .224 – .254.
  • m-am asigurat că Back To My Mac este dezactivat pe router și Mac Mini (într-adevăr, nu cred că Back To My Mac există ca atare pe High Sierra).
  • a luat routerul a ieșit din buclă și a conectat Mac mini direct la modemul prin cablu. Conexiunile la VPN au reușit. Acest lucru confirmă faptul că ISP-ul meu nu blochează traficul VPN, că serverul VPN funcționează (pentru clienții interni și externi) și că Airport Extreme este problema.

Lucruri pe care nu le-am încă încercat:

  • software VPN alternativ (OpenVPN). Cred că VPN în Server.app funcționează, deoarece mă pot conecta la acesta în rețeaua internă.
  • porturi alternative, de ex., Pe routerul înainte 22 la 500, 80 la 1701 și 443 la 4500. Am nu am încercat acest lucru deoarece nu știu cum să configurez clientul VPN pentru a încerca să se conecteze pe aceste porturi. De asemenea, nu pare posibil să configurați serverul VPN (cel puțin cel din Server.app) pentru a asculta pe diferite porturi.

Răspuns

Verificați mai întâi setările de pe AirPort Extreme pentru a vă asigura că caseta etichetată „Permiteți autentificarea IPSec primită” în „Opțiuni de rețea …” sub „Rețea” este bifat.

Atunci bănuiesc că ceea ce s-a întâmplat este că Mac Mini a primit o altă adresă IP internă. Acest lucru ar putea duce la redirecționarea porturilor configurarea nu mai funcționează, ceea ce este confirmat de faptul că nu puteți vedea redirecționarea portului portului TCP 1723 cu un scaner de porturi.

Pe Mac Mini deschideți Preferințe sistem și Networ k și găsiți adresa IP internă a Mac Mini. Ar putea fi de exemplu 192.168.2.10. Apoi verificați redirecționările de porturi pe Airport Extreme la „Rețea” și „Setări port …”. Asigurați-vă că câmpul „Adresă IP privată” listează adresa IP internă a Mac Mini pentru toate porturile conexe VPN (porturile UDP 500, 1701, 4500 și portul TCP 1723).

Comentarii

  • Vă mulțumim pentru răspuns. " Permiteți autentificarea IPSec primită " nu a fost vizibil imediat …A trebuit să verific mai întâi " Activează partajarea conexiunii IPv6 " prin " Opțiuni Internet " de pe fila " Internet ", apoi activați " Blocați conexiunile IPv6 primite " în Rețea / Opțiuni de rețea … Totuși, conexiunile la rețeaua VPN eșuează. Adresa IP a Mac mini ' se potrivește cu cea specificată în Setările portului pentru VPN, ambele au 10.0.1.2 (care era înainte de resetarea routerului – toate dispozitivele din rețea sunt DHCP cu rezervări statice bazate pe adresa MAC de la AirPort Extreme).
  • Instalați Wireshark pe Mac Mini și lăsați-l să captureze pachete în timp ce încercați să vă conectați. Verificați dacă a apărut ceva prin aceste porturi!
  • Am putut confirma că porturile 500, 1701, 1723 și 4500 pentru TCP și UDP pot fi redirecționate prin routerul meu când folosesc netcat local pentru a asculta (nc -ul 500 etc.) și de la distanță (pe o gazdă externă prin ssh) pentru a vă conecta (nc -u $ ip 500 etc.). De asemenea, am urmărit acest trafic folosind wireshark și am văzut încercări de conectare VPN în Wireshark … se pare că conexiunea este negociată, dar nu are succes. Nu ' nu văd nicio activitate în /var/log/ppp/vpnd.log în timpul încercărilor de conectare eșuate.

Răspuns

Se pare că a fost un secret partajat incorect pe dispozitivele externe.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *