Estou compartilhando minha conexão de internet / conexão VPN IKEv2 por PF via NAT estático Murus. Minha arquitetura de rede é a seguinte:
internet modem ->
wired router (serving 192.168.1.1/24) ->
Mac mini (192.168.1.2) -> ((en4) 192.168.2.1 ) ->
airport extreme (192.168.2.2) (DHCP, no NAT, serving 192.168.2.0/24)
Estou compartilhando minha conexão internet/vpn via en4to 192.168.2.0/24. Compartilhar internet funciona. Compartilhar a VPN funciona. Estou fazendo resolução de DNS no roteador e não encaminhando solicitações de DNS através do pf.
No entanto, determinados sites (nomeadamentehttps://google.com) não será carregado. Outros sites https o farão. ping google.comfunciona bem no cliente e no servidor. Ele resolve endereços IP diferentes em cada um, embora ambas as conexões estejam atrás da mesma VPN e usem os mesmos servidores DNS.
curl google.comé claro que produz um 301. curl https://google.comfunciona bem no servidor, mas curl -v https://google.comno cliente produz o seguinte se você esperar o suficiente:
stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to google.com:443
O navegador simplesmente expira. Ambos estão correndo LibreSSL 2.2.7.
A saída do Wireshark para o cliente e seu IP preferido do Google é bastante colorida, embora ininteligível:
Estranhamente, o navegador Safari parece estar usando o IP do servidor do Google e não aparece neste filtro (isto é de uma curlsolicitação).
Já fiz isso funcionar no passado e estou tentando novamente com um roteador diferente e uma camada a menos de NAT. Não posso dizer que sempre foi livre de problemas, mas definitivamente consegui navegar em sites como google.com com a conexão VPN compartilhada.
Deve-se observar que desligar a VPN faz com que a conexão compartilhada com a Internet funcione perfeitamente.
Quais são os próximos passos que preciso seguir para descobrir por que algumas httpsconexões não funcionam e para deixar essa rede totalmente funcional?
Responder1
Não tenho um firewall murus, entendo que iptables/pfcomentei com base nisso.
Como tenho a base tomei a liberdade de procurar uma fonte/captura de tela que mostrasse como fazer isso emMurus.
Encontrei estas fontes:
1) Você pode ler oManual de instruções Murus(seção 7)
2) Você pode verificar esta captura de tela que é semelhante (serviço e porta diferentes, mas mesma lógica)
ParaSSHserviço e porto2222, você pode ver abaixo (serviço de encaminhamento para cliente NAT):