Är min Airport Extreme 2013 inte längre vidarebefordrad av VPN-trafik efter en fabriksåterställning?

På många år har jag har varit värd för en VPN från mitt hem med olika versioner av Server.app (för närvarande 5.6.3, senaste för High Sierra) på olika versioner av OS X (för närvarande 10.13, High Sierra) installerade på en Mac Mini, kopplad via olika Ethernet-hubbar / växlar till en Airport Extreme-router (2013, 6: e generationen som kör version 7.7.9).

Nyligen gick hela mitt nätverk ner. Innan jag märkte att detta berodde på att en 8-port hub förlorade ström, fabriksåterställde jag routern (frånkopplad ström, håll nere resetknappen, ansluten till strömmen, väntade på att lamporna skulle börja blinka och omkonfigurerade routern). Varken den fysiska topologin i mitt nätverk har ändrats eller IP-adresserna till enheterna i mitt nätverk har ändrats.

Nu verkar allt fungera förutom VPN. Jag har lyckats vidarebefordra olika tjänster (ssh, http, https) utanför nätverket till Mac Mini. Jag har en vidarebefordringsregel för VPN-installation på routern (UDP-portar 500, 1701, 4500; TCP-port 1723) och VPN-tjänsten inom Server.App aktiverad på Mac Mini. Jag kan ansluta till VPN-tjänsten från mitt nätverk, men utanför nätverket (t.ex. iPhone via mobilnätverk) får jag felmeddelandet:

L2TP-VPN-servern svarade inte. Försök igen. Om problemet kvarstår, kontrollera dina inställningar och kontakta din administratör.

Om du försöker söka efter öppna portar på routern utanför nätverket avslöjar portarna för andra tjänster (22, 80, 443, etc.), men ingen av VPN-portarna (500, 1701, 4500 eller 1723). Att försöka söka efter öppna portar på Mac Mini inifrån nätverket avslöjar samma situation. Detta är fallet både inom och utanför nätverket, oavsett om jag använder mitt modems externa IP, ett dynamiskt värdnamn (tillhandahållet av ddns.net) eller en underdomän på en CNAME-post för en DNS-post som jag har kontroll över.

Jag tror inte att min Internetleverantör blockerar VPN-trafik eftersom den här installationen fungerade mindre än en vecka före nätverksolyckan.

Jag tror att något har gått fel på routern. Jag har provat dessa saker :

  • aktiverade IGMP-snooping som föreslagits i det här inlägget: VPN-genomgångsproblem med Airport Extreme .
  • garanterade IP-intervall överlappar inte (som föreslås också i ovanstående inlägg): kabelanslutet statiskt från .1 – .49; trådlöst statiskt från .50 – .99; DHCP från .100 – .199 och VPN på .224 – .254.
  • säkerställde att Tillbaka till min Mac är inaktiverad på routern och Mac Mini (jag tror faktiskt inte att tillbaka till min Mac finns som sådan på High Sierra).
  • routern ur slingan och ansluten Mac mini direkt till kabelmodemet. Anslutningar till VPN lyckades. Detta bekräftar att min ISP inte blockerar VPN-trafik, att VPN-servern fungerar (för interna och externa klienter) och att Airport Extreme är problemet.

Saker jag inte har ännu försökt:

  • alternativ VPN-programvara (OpenVPN). Jag tror att VPN i Server.app fungerar eftersom jag kan ansluta till det på det interna nätverket.
  • alternativa portar, t.ex. på routern framåt 22 till 500, 80 till 1701 och 443 till 4500. Jag har inte försökt detta eftersom jag inte vet hur jag konfigurerar VPN-klienten för att försöka ansluta till dessa portar. Det verkar inte heller möjligt att konfigurera VPN-servern (åtminstone den inom Server.app) för att lyssna på olika portar.

Svar

Kontrollera först inställningarna på AirPort Extreme för att säkerställa att rutan märkt ”Tillåt inkommande IPSec-autentisering” i ”Nätverksalternativ …” under ”Nätverk” är markerat.

Då misstänker jag att det som har hänt är att din Mac Mini har fått en annan intern IP-adress. Detta kan leda till portvidarebefordran som du har haft att installationen inte fungerar längre, vilket bekräftas av det faktum att du inte kan se din portvidarebefordran av TCP-port 1723 med en portskanner.

På Mac Mini öppnar du Systeminställningar och Networ k och hitta den interna IP-adressen till din Mac Mini. Det kan till exempel vara 192.168.2.10. Kontrollera sedan port vidarebefordran på Airport Extreme under ”Nätverk” och ”Portinställningar …”. Se till att fältet ”Privat IP-adress” listar den interna IP-adressen till din Mac Mini för alla VPN-relaterade portar (UDP-portar 500, 1701, 4500 och TCP-port 1723).

Kommentarer

  • Tack för svaret. " Tillåt inkommande IPSec-autentisering " kunde inte visas omedelbart …Jag var tvungen att först kontrollera " Aktivera IPv6-anslutningsdelning " via " Internetalternativ " -knapp på fliken " Internet " och aktivera sedan " Blockera inkommande IPv6-anslutningar " på nätverks- / nätverksalternativ … Ändå misslyckas anslutningar till VPN. Mac mini ' s IP-adress matchar den som anges i Portinställningar för VPN, båda har 10.0.1.2 (som det var innan jag återställde routern – alla enheter i nätverket är DHCP med statiska reservationer baserade på MAC-adress från AirPort Extreme).
  • Installera Wireshark på Mac Mini och låt den fånga paket medan du försöker ansluta. Kontrollera om något kommer genom dessa portar!
  • Jag har kunnat bekräfta att portarna 500, 1701, 1723 och 4500 för TCP och UDP kan vidarebefordras via min router när jag använder netcat lokalt för att lyssna (nc -ul 500, etc.) och på distans (på en extern värd via ssh) för att ansluta (nc -u $ ip 500, etc). Jag har också följt denna trafik med hjälp av wireshark och sett VPN-anslutningsförsök i Wireshark … det ser ut som att anslutningen förhandlas fram men inte lyckas. Jag ser ' ingen aktivitet i /var/log/ppp/vpnd.log under de misslyckade anslutningsförsöken.

Svar

Visar sig att det var en felaktig delad hemlighet på de externa enheterna.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *