[10.13 High Sierra] Nachfolger für macOS Server VPN gesucht

[rakader]

Ich mache mal ein Update, da sich hier die frage nach einem VPN Server auf macOS explizit stellt.

Vorab @ottomane : meiner grünen Seele widerstrebt es dafür eigens einen separaten Linux-Rechner hinzustellen. In Verbindung mit einer Anbindung von Devices zur Datenauswertung steht hier aber ein Raspberry Pi an. Das werde ich mit pivpn angehen - zu gegebener Zeit. Sicher der beste Workaround, der aber auch ein wenig Einarbeitung erfordert.

Um das abzukürzen, habe ich mich trotzdem noch ein wenig umgeschaut. Die üblichen Geschäftemacher, eine japanische Uni, die einen Verver anbietet. Der einzige leicht zu handhabende Ersatz scheint VPN Enabler zu sein. Eine Anleitung zum Einrichten gibt's hier: https://www.macminivault.com/configuring-vpn-server-macos-mojave/

Vielleicht ist's für den ein oder anderen hilfreich.

Anmerkung: Da hier der MacMini separiert ist, macht ein VPN Server meines Erachtens dort Sinn. Dort lief vorher auch mein macOS Server. Wenn ich den Synology-Dienst richtig verstanden habe, beschränkt der sich nur auf die Synology-Dienste.

 

[Marcel Bresink]

Für mich wäre ein Grund, dass ich nur eine Maschine im Netz per VPN ansteuern möchte

Das ist technisch nie so realisiert. Ein VPN-Server stellt entweder einem (1) externen Rechner das ganze private Netz zur Verfügung, oder es werden gleich zwei private Netze miteinander sicher verbunden (Site-to-Site-VPN). Das sind auch die beiden Funktionen von Apples VPN-Server.

Der einzige leicht zu handhabende Ersatz scheint VPN Enabler zu sein.

Das ist dann genau der gleiche VPN-Server von Apple wie früher. Die fehlende grafische Oberfläche, die früher in macOS Server vorhanden war, ist nur noch einmal nachgebaut worden.

Wenn ich den Synology-Dienst richtig verstanden habe, beschränkt der sich nur auf die Synology-Dienste.

Nein, das wäre viel zu kompliziert. Wie oben schon gesagt: Ein (1) externer Rechner bekommt sicheren Zugriff auf das private Netz, fast so, als würde er sich in diesem Netz befinden.

 

[rakader]

Lieber Marcel Bresink - danke für die Klarstellungen. Somit ziehe ich aus diesem Thread die Erkenntnis, dass der Installationsort des VPN-Servers ein nicht zu unterschätzender Punkt ist, den man sich vorab beim Einrichten gut überlegen sollte.

 

[rakader]

Nachdem ich weder mit dem VPN auf der Synology noch auf der Fritzzbox zurecht gekommen bin, habe ich mich für die ultimative Lösung entschieden: Downgrade auf HighSierra und macOS Server läuft in v5.6 stabil wie gewohnt.
Gleichzeitig macht auch vmWare Fusion keine Probleme mehr auf dem Mini - Catalina bremste den vollends aus.
Einen eigenen Linux-Server war mir jetzt zu sehr mit Kanonen geschossen. Macht sicher Sinn - aber nicht bei 4 Hanseln.

 

[Wuchtbrumme]

Aus irgendeinem Grund geht VPN über die VM meines Servers mit 5.6.3 nicht mehr.
Jetzt habe ich mir mal eine VM mit Ubuntu 16.04 gebaut, libreswan, xl2tpd und ppp.
Entschuldigt, dass ich das so oft sage(n muss): Aus irgendeinem Grund funktionierte das VPN vom iPhone nur *ein Mal*.
Anders ausgedrückt: ich habe nichts geändert, das war nach einem Reboot, dann brach das VPN ab und seitdem geht es nicht mehr (wobei vorher schon Dutzende Reboots das nicht ging, keine Ahnung, warum es dann das eine Mal funktionierte).

Hat jemand eine lauffähige Konfiguration?
So ganz schlau geworden aus dem libreswan-Wiki bin ich nicht; keine einzige Beispielkonfiguration scheint out-of-the-box zu funktionieren.

Die Config hier (...PSK3...) ist aus dem LibreSwan-Forum.

ipsec.conf:

config setup
  virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.42.0/24,%v4:!192.168.43.0/24
  protostack=netkey
  interfaces=%defaultroute
  uniqueids=no

conn shared
  left=%defaultroute
  leftid=192.168.1.2
  right=%any
  encapsulation=yes
  authby=secret
  pfs=no
  rekey=no
  keyingtries=5
  dpddelay=30
  dpdtimeout=120
  dpdaction=clear
  ikev2=no
  ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024aes256-sha2,aes128-sha2,aes256-sha1,aes128-sha1,aes256-sha2;modp1024,aes128-sha1;modp1024
  phase2alg=aes_gcm-null,aes128-sha1,aes256-sha1,aes256-sha2_512,aes128-sha2,aes256-sha2
  #ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
  #esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024
  #esp=aes256-sha256,aes256-sha1,3des-sha1
  sha2-truncbug=no

conn L2TP-PSK3
         pfs=no
         auto=add
         ikev2=no
         ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024
         esp=aes256-sha2_512,aes256-sha1,aes256-sha2_256,3des-sha1
         authby=secret
         type=transport
         left=192.168.1.2
         leftprotoport=17/1701
         right=%any
         rightprotoport=17/%any
         dpddelay=30
         dpdtimeout=120
         dpdaction=clear

ipsec.secrets:

%any  %any  : PSK "PSK-Passphrase"

xl2tpd.conf:

[global]
port = 1701

[lns default]
ip range = 192.168.1.220-192.168.1.230
local ip = 192.168.1.2
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

chap-secrets:

"vpnuser" l2tpd "T0p@s!" *

Hier das Log:

Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: responding to Main Mode from unknown peer 192.168.1.135:500
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA2_256, MODP2048] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA1, MODP2048] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_MD5, MODP2048] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: WARNING: connection L2TP-PSK3 PSK length of 25 bytes is too short for sha2_512 PRF in FIPS mode (32 bytes required)
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA2_512, MODP2048] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA2_256, MODP1536] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA1, MODP1536] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_MD5, MODP1536] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Oakley Transform [AES_CBC (256), HMAC_SHA2_256, MODP1024] refused
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: STATE_MAIN_R1: sent MR1, expecting MI2
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: STATE_MAIN_R2: sent MR2, expecting MI3
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: ignoring informational payload IPSEC_INITIAL_CONTACT, msgid=00000000, length=28
Oct 11 22:36:46 vpnserver pluto[4616]: | ISAKMP Notification Payload
Oct 11 22:36:46 vpnserver pluto[4616]: |   00 00 00 1c  00 00 00 01  01 10 60 02
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: Peer ID is ID_IPV4_ADDR: '192.168.1.135'
Oct 11 22:36:46 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=PRESHARED_KEY cipher=AES_CBC_256 integ=HMAC_SHA1 group=MODP1024}
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: the peer proposed: 192.168.1.2/32:17/1701 -> 192.168.1.135/32:17/0
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8: responding to Quick Mode proposal {msgid:62c9d168}
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8:     us: 192.168.1.2<192.168.1.2>:17/1701
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8:   them: 192.168.1.135:17/56214
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2 transport mode {ESP=>0x0288310b <0xa712410c xfrm=AES_CBC_256-HMAC_SHA2_256_128 NATOA=none NATD=none DPD=active}
Oct 11 22:36:47 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8: STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x0288310b <0xa712410c xfrm=AES_CBC_256-HMAC_SHA2_256_128 NATOA=none NATD=none DPD=active}
Oct 11 22:37:07 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: received Delete SA(0x0288310b) payload: deleting IPsec State #8
Oct 11 22:37:07 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8: deleting other state #8 (STATE_QUICK_R2) aged 20.132s and sending notification
Oct 11 22:37:07 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #8: ESP traffic information: in=623B out=0B
Oct 11 22:37:07 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135 #7: deleting state (STATE_MAIN_R3) aged 21.143s and sending notification
Oct 11 22:37:07 vpnserver pluto[4616]: "L2TP-PSK3"[6] 192.168.1.135: deleting connection "L2TP-PSK3"[6] 192.168.1.135 instance with peer 192.168.1.135 {isakmp=#0/ipsec=#0}

 

[rakader]

Entschuldigt, dass ich das so oft sage(n muss): Aus irgendeinem Grund funktionierte das VPN vom iPhone nur *ein Mal*.

Sind noch alte Profile drauf auf dem iPhone?
Bei mir hat es nur mit P2PT auf der Synology funktioniert; OpenDirectory war mir zu verquast; Ubuntu tue ich mir beim besten Willen nicht an, das mutet mir zu sehr wie eine Operation für die Komplikation einer Komplikation an; da schaue ich mir lieber Brazil an.

Wenn Du ein NAS von einem Hersteller mit gutem Software-Support hast, nimm doch das statt diesem Ubuntu-Mist. Da bekommst Du immer Support und außerdem ist alles gut dokumentiert. Ist halt eine Frage der Prioritäten.

Sorry, dass ich leider zielgerichtet keinen besseren Tipp habe.

Radulph

 

[Wuchtbrumme]

puh, das ist vielleicht etwas streng
Ich glaube, wenn überhaupt, würde ich auf OpenVPN switchen. Es hat eine App für iOS/iPadOS und ich selbst habe das schon an anderer Stelle eingerichtet bekommen.
Aber noch habe ich die Hoffnung, die Infrastruktur so hinzubekommen, dass VPN mit Bordmitteln funktioniert. Dann kann man nämlich ggfls. auch automatisiert für bestimmte Adressen VPNs aufbauen, ganz zu schweigen, dass man die VPN-Verbindung per ProfileManager verteilen kann. Und die allererste Hoffnung ist, dass ich aus dem LAN bestätigen kann, den VPN-Server zu einem validen Tunnel zu überreden - dann kann ich nämlich im zweiten Schritt überprüfen, ob auch über mobile Daten der Telekom noch ein Connect möglich ist. Dann bin ich nämlich entweder wieder bei der Fritzbox oder dem VMWare-Fusion-LAN-Treiber.


...das eine Mal, wo die Verbindung funktionierte - keine Ahnung, warum - sehe ich, dass die IP aus dem Block zugewiesen wurde, aber der VPN-Server vom dhcpcd eine IP des DHCP-Servers (der Mac) bekommt. Was ist denn da los? Ich dachte, xl2tpd (bzw. ppp) würde reichen? Jedenfalls führt das zu einer Rekonfiguration des (statischen) Server-Netzwerkadapters und das Hinzufügen einer weiteren (identischen) Route, da IP in selbem Subnet - ich könnte mir vorstellen, dass das den Abbruch hervorgerufen hat.

Wo kommt der dhcpcd für den Serveradapter her? Argh.