compartiendo internet / vpn con ipfw, no puedo acceder a google.com a través de https

5

Estoy compartiendo mi conexión a Internet / conexión VPN IKEv2 a través de pf a través de NAT estática Murus. La arquitectura de mi red es la siguiente:

internet modem -> 
wired router (serving 192.168.1.1/24) -> 
Mac mini (192.168.1.2) -> ((en4) 192.168.2.1  ) ->
airport extreme (192.168.2.2) (DHCP, no NAT, serving 192.168.2.0/24)

Estoy compartiendo mi conexión de internet / vpn a través de en4 a 192.168.2.0/24 . Compartir internet funciona. Compartir la VPN funciona. Estoy haciendo la resolución de DNS en el enrutador y no reenvío las solicitudes de DNS a través de pf.

Sinembargo,ciertossitios(asaber, enlace ) no se cargarán. Otros sitios https lo harán. ping google.com funciona bien en cliente y servidor. Se resuelve en direcciones IP diferentes en cada una, aunque ambas conexiones están detrás de la misma VPN y utilizan los mismos servidores DNS.

curl google.com por supuesto produce un 301 . curl https://google.com funciona bien en el servidor, pero curl -v https://google.com en el cliente produce lo siguiente si espera lo suficiente:

 stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to google.com:443

El navegador acaba el tiempo de espera. Ambos están ejecutando LibreSSL 2.2.7 .

La salida de Wireshark para el cliente y su IP de Google preferida es bastante colorida, aunque ininteligible:

Por extraño que parezca, el navegador Safari parece estar usando la IP de Google del servidor y no aparece en este filtro (esto es de una solicitud curl ).

He tenido este trabajo en el pasado y lo estoy intentando de nuevo con un enrutador diferente y una capa menos de NAT. No puedo decir que siempre haya sido libre de gruñidos, pero definitivamente pude navegar en sitios como google.com con la conexión VPN compartida.

Se debe tener en cuenta que apagar la VPN hace que la conexión compartida a Internet funcione bien.

¿Qué pasos debo seguir para descubrir por qué no funcionan algunas conexiones https y para que esta red sea completamente funcional?

    
pregunta Walrus the Cat 28.02.2018 - 20:38

1 respuesta

0

La selección de "Clamp MSS" en las opciones NAT Murus Static permite el acceso a enlace (y apple.stackexchange.com) !. Todavía hay problemas (no se puede acelerar la prueba en fast.com y otros) pero esto proporciona la solución.

    
respondido por el Walrus the Cat 07.03.2018 - 19:28

Lea otras preguntas en las etiquetas