Tras un restablecimiento de fábrica, ¿mi Airport Extreme 2013 ya no reenvía el tráfico VPN?
Durante años he alojado una VPN desde mi casa con varias versiones de Server.app (actualmente 5.6.3, la última para High Sierra) en varias versiones de OS X (actualmente 10.13, High Sierra) instaladas en un Mac Mini, conectado por cable a través de varios concentradores/interruptores ethernet a un router Airport Extreme (2013, 6ª Generación que ejecuta la versión 7.7.9).
Recientemente, toda mi red se cayó. Antes de darme cuenta de que esto se debía a que un concentrador de 8 puertos perdía potencia, reseteé de fábrica el router (desenchufé la corriente, mantuve pulsado el botón de reinicio, enchufé la corriente, esperé a que las luces empezaran a parpadear y volví a configurar el router). Ni la topología física de mi red se ha alterado, ni las direcciones IP de los dispositivos de mi red han cambiado.
Ahora, todo parece funcionar excepto la VPN. He conseguido reenviar varios servicios (ssh, http, https) desde fuera de la red al Mac Mini. Tengo una regla de reenvío para la configuración de la VPN en el router (puertos UDP 500, 1701, 4500; puerto TCP 1723), y el servicio VPN dentro de Server.App activado en el Mac Mini. Puedo conectarme al servicio VPN desde mi red, pero fuera de la red (por ejemplo, iPhone a través de la red celular) recibo el mensaje de error:
El servidor L2TP-VPN no responde. Intente volver a conectarse. Si el problema continúa, verifique su configuración y póngase en contacto con su administrador.
Al intentar buscar puertos abiertos en el router desde fuera de la red, se encuentran los puertos de los demás servicios (22, 80, 443, etc.), pero ninguno de los puertos VPN (500, 1701, 4500 o 1723). Si se intenta buscar puertos abiertos en el Mac Mini desde dentro de la red, se observa la misma situación. Este es el caso tanto dentro como fuera de la red si utilizo la IP externa de mi módem, un nombre de host dinámico (proporcionado por ddns.net), o un subdominio en una entrada CNAME para un registro DNS sobre el que tengo control.
No creo que mi ISP esté bloqueando el tráfico VPN, ya que esta configuración funcionaba menos de una semana antes del percance de la red.
Creo que algo ha ido mal en el router. He probado estas cosas:
- habilitado IGMP Snooping como se sugiere en este post: Problemas de VPN Passthrough con el Airport Extreme .
- Asegurarse de que los rangos de IP no se solapan (como se sugiere también en el post anterior): estática por cable de .1 - .49; estática inalámbrica de .50 - .99; DHCP de .100 - .199, y VPN en .224 - .254.
- me aseguré de que Back To My Mac estuviera desactivado en el router y en el Mac Mini (de hecho, no creo que Back To My Mac exista como tal en High Sierra).
- He sacado el router del bucle y he conectado el Mac mini directamente al módem por cable. La conexión a la VPN ha sido correcta. Esto confirma que mi ISP no está bloqueando el tráfico de la VPN, que el servidor de la VPN funciona (para los clientes internos y externos) y que el Airport Extreme es el problema.
Cosas que aún no he probado:
- software VPN alternativo (OpenVPN). Creo que la VPN en Server.app está funcionando ya que puedo conectarme a ella en la red interna.
- puertos alternativos, por ejemplo, en el router reenviar 22 a 500, 80 a 1701 y 443 a 4500. No he probado esto porque no sé cómo configurar el cliente VPN para que intente conectarse en estos puertos. Tampoco parece posible configurar el servidor VPN (al menos el que está dentro de Server.app) para que escuche en diferentes puertos.
