condivisione di internet / vpn con ipfw, impossibile accedere a google.com tramite https

5

Sto condividendo la mia connessione Internet / IKEv2 con la connessione VPN su pf tramite NAT statico di Murus. La mia architettura di rete è la seguente:

internet modem -> 
wired router (serving 192.168.1.1/24) -> 
Mac mini (192.168.1.2) -> ((en4) 192.168.2.1  ) ->
airport extreme (192.168.2.2) (DHCP, no NAT, serving 192.168.2.0/24)

Sto condividendo la mia connessione Internet / VPN tramite en4 a 192.168.2.0/24 . Condivisione di internet funziona. La condivisione della VPN funziona. Sto facendo una risoluzione DNS sul router e non inoltro richieste DNS attraverso pf.

Tuttavia,alcunisiti(ovvero link ) non verranno caricati. Altri siti https lo faranno. ping google.com funziona bene su client e server. Risolve su diversi indirizzi IP su ciascuna, anche se entrambe le connessioni sono dietro la stessa VPN e utilizzano gli stessi server DNS.

curl google.com ovviamente produce un 301 . curl https://google.com funziona bene sul server, ma curl -v https://google.com sul client produce quanto segue se aspetti abbastanza a lungo:

 stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to google.com:443

Il browser è appena scaduto. Entrambi stanno eseguendo LibreSSL 2.2.7 .

L'output di Wireshark per il client e il suo IP Google preferito sono piuttosto colorati, anche se incomprensibili:

Stranamente, il browser Safari sembra utilizzare l'IP Google del server e non viene visualizzato in questo filtro (si tratta di una richiesta curl .)

Ho avuto questo lavoro in passato, e sto provando di nuovo con un router diverso e uno strato in meno di NAT. Non posso dire che sia sempre stato snarl-free, ma sono stato sicuramente in grado di esplorare siti come google.com con la connessione VPN condivisa.

Va notato che lo spegnimento della VPN fa funzionare correttamente la connessione Internet condivisa.

Quali sono i prossimi passi da fare per capire perché alcune connessioni https non funzionano e per rendere questa rete pienamente funzionante?

    
posta Walrus the Cat 28.02.2018 - 20:38
fonte

1 risposta

0

Selezionando "Clamp MSS" nelle opzioni Murus Static NAT è possibile accedere al link (e a apple.stackexchange.com) !. Ci sono ancora problemi (non è possibile testare la velocità su fast.com e altri) ma questo fornisce la correzione.

    
risposta data 07.03.2018 - 19:28
fonte

Leggi altre domande sui tag