5 votos

hwfanatic avatar

La implementación IKEv2 nativa de MacOS enruta TODO el tráfico a través del túnel VPN

Preguntado el 29 de Mayo, 2019
Cuando se hizo la pregunta
3184 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Queríamos actualizar nuestras conexiones L2TP existentes a IKEv2 para conectarnos a nuestros servidores corporativos. El problema es el siguiente:

Con L2TP, sólo el rango IP asignado se enruta a través del túnel, porque la opción de "Enviar todo el tráfico a través de la conexión VP" está desactivada y la orden de servicio es bastante baja. Aquí hay un extracto de la tabla de enrutamiento:

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.123.254    UGSc           99        0     en0       
default            link#17            UCSI            0        0    ppp0       
10                 ppp0               USc             0        0    ppp0       
10.1.102.55        10.1.102.56        UH              1        0    ppp0

Con IKEv2, en cambio, no existe la opción "Enviar todo el tráfico a través de la conexión VP", y la interfaz ni siquiera aparece en "Establecer orden de servicio". No queremos enrutar todo el tráfico de Internet a través de la conexión VPN, sólo el rango asignado a la interfaz. Aquí hay un extracto de la tabla de enrutamiento:

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            link#15            UCS            60        0  ipsec0       
default            192.168.123.254    UGScI          21        0     en0       
1.2.3.4            link#15            UHW3I           0        0  ipsec0     88
10.1.102.57        10.1.102.57        UH              0        0  ipsec0       
23.97.215.12       link#15            UHWIi          20      351  ipsec0

Como se puede ver, no sólo la interfaz IKEv2 se ha convertido en la interfaz principal, sino que también se ha convertido en la puerta de enlace principal para la mayoría de las rutas de la tabla (redactado aquí para facilitar la lectura). No sé si esta es una "característica" incorporada en MacOS, pero como mínimo es indeseable.

¿Alguien tiene alguna idea sobre cómo cambiar o evitar este comportamiento (ya sea del lado del cliente o del servidor)?

PD También tenemos clientes Windows que usan IKEv2 sin problema porque la opción "Usar puerta de enlace predeterminada en la red remota" está desmarcada. El servidor al que nos conectamos es un Windows Server 2016 con el rol RRAS instalado, configurado como cliente RADIUS a nuestra máquina aislada DC-AC.

Preguntado el 29 de Mayo, 2019 por hwfanatic

Respuesta

¿Demasiados anuncios?

2voto

user268600 avatar
user268600 Puntos 89

Configurar IKEv2 VPN para dividir el tráfico en MacOS

Los siguientes comandos se probaron en un Mac con MacOS Monterey.

Asegúrese de que ya se ha conectado correctamente a la VPN antes de intentar cualquiera de los pasos siguientes.

Busque el nombre de su interfaz VPN y la dirección de la puerta de enlace

Antes de ejecutar los comandos principales, necesitamos encontrar el nombre de tu interfaz VPN y la dirección IP de la puerta de enlace de tu red doméstica. Estos valores variarán en función de la configuración de tu red doméstica y de tu MacOS.

Para encontrar el nombre de su interfaz VPN Ejecute el siguiente comando en Terminal:

netstat -i

Esto le dará una lista de todas las interfaces, hacia el final de la lista, encontrará una interfaz que comienza con ipsec seguido de un número, por ejemplo

***
ipsec1     1280  <Link#27>                       109462     0    77052     0     0
ipsec1     1280  10.5.6/26    10.5.6.7           109462     -    77052     -     -
***

En mi caso, el nombre de mi interfaz VPN es ipsec1 .

Para encontrar la dirección IP de la puerta de enlace de su red doméstica

  1. Abra la configuración de red en Preferencias del Sistema
  2. Seleccione su red doméstica principal a la izquierda. Si utiliza un Mac conectado simultáneamente por ethernet y Wi-Fi, elija la conexión ethernet, ya que debería tener más prioridad que la Wi-Fi. Puede comprobarlo haciendo clic en la flecha hacia abajo situada debajo de la lista y haciendo clic en Orden de servicio.
  3. Haga clic en Avanzado en la parte inferior derecha.
  4. Localice el router dirección IP, esta es su gateway dirección.

Divida su tráfico de red

Los siguientes comandos deben ejecutarse DESPUÉS de conectarse a la VPN. Su configuración de red se restablecerá automáticamente a los valores predeterminados cuando se desconecte de la VPN, lo que significa que tendrá que volver a ejecutarlos cada vez que vuelva a conectarse a la VPN para enrutar correctamente el tráfico.

sudo route -nv add -net 10.5.0.0/16 -interface <interface name>
sudo route change default <gateway address>

En mi caso, mi nombre de interfaz es ipsec1 y mi dirección de puerta de enlace es 10.0.0.1, por lo que los comandos son:

sudo route -nv add -net 10.5.0.0/16 -interface ipsec1
sudo route change default 10.0.0.1

Se le pedirá una contraseña después del primer comando, esta es su contraseña de administrador de MacOS.

Respondido el 8 de Junio, 2022 por user268600 (89 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X