Estoy compartiendo mi conexión a Internet/conexión VPN IKEv2 a través de pf a través de NAT estática de Murus. Mi arquitectura de red es la siguiente:
internet modem ->
wired router (serving 192.168.1.1/24) ->
Mac mini (192.168.1.2) -> ((en4) 192.168.2.1 ) ->
airport extreme (192.168.2.2) (DHCP, no NAT, serving 192.168.2.0/24)
Estoy compartiendo mi conexión a Internet/Vpn a través en4de 192.168.2.0/24. Compartir internet funciona. Compartir la VPN funciona. Estoy resolviendo DNS en el enrutador y no reenvío solicitudes de DNS a través de pf.
Sin embargo, ciertos sitios (a saberhttps://google.com) no se cargará. Otros sitios https lo harán. ping google.comFunciona bien en cliente y servidor. Se resuelve en diferentes direcciones IP en cada una, aunque ambas conexiones están detrás de la misma VPN y usan los mismos servidores DNS.
curl google.compor supuesto produce un 301. curl https://google.comfunciona bien en el servidor, pero curl -v https://google.comen el cliente produce lo siguiente si espera lo suficiente:
stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to google.com:443
El navegador simplemente agota el tiempo de espera. Ambos están corriendo LibreSSL 2.2.7.
La salida de Wireshark para el cliente y su IP de Google preferida es bastante colorida, aunque ininteligible:
Por extraño que parezca, el navegador Safari parece estar utilizando la IP de Google del servidor y no aparece en este filtro (esto se debe a una curlsolicitud).
Esto funcionó en el pasado y lo estoy intentando nuevamente con un enrutador diferente y una capa menos de NAT. No puedo decir que siempre haya estado libre de problemas, pero definitivamente pude navegar por sitios como google.com con la conexión VPN compartida.
Cabe señalar que apagar la VPN hace que la conexión a Internet compartida funcione bien.
¿Qué próximos pasos debo seguir para descubrir por qué algunas httpsconexiones no funcionan y lograr que esta red sea completamente funcional?
Respuesta1
No tengo un firewall murus, de alguna manera entiendo iptables/pfque comenté sobre esa base.
Como tengo la base, me tomé la libertad de buscar una fuente/captura de pantalla que le muestre cómo hacerlo enMurús.
He encontrado estas fuentes:
1) Puedes leer elmanual de murus(sección 7)
2) Puede consultar esta captura de pantalla que es similar (servicio y puerto diferentes, pero la misma lógica)
ParaSSHservicio y puerto2222, puede ver en la parte inferior (servicio de reenvío al cliente NAT):