我正在通过 Murus 静态 NAT 在 pf 上共享我的互联网连接/IKEv2 VPN 连接。我的网络架构如下:
internet modem ->
wired router (serving 192.168.1.1/24) ->
Mac mini (192.168.1.2) -> ((en4) 192.168.2.1 ) ->
airport extreme (192.168.2.2) (DHCP, no NAT, serving 192.168.2.0/24)
我正在通过 共享我的互联网/vpn 连接en4。192.168.2.0/24共享互联网有效。共享 VPN 有效。我正在路由器上进行 DNS 解析,而不是通过 pf 转发 DNS 请求。
然而,某些网站(即https://google.com) 将无法加载。其他 https 站点可以。 ping google.com在客户端和服务器上运行良好。它解析为不同的 IP 地址,尽管两个连接都位于同一个 VPN 后面并使用相同的 DNS 服务器。
curl google.com当然会产生一个301。 curl https://google.com在服务器上运行良好,但curl -v https://google.com如果等待足够长的时间,在客户端会产生以下结果:
stopped the pause stream!
* Closing connection 0
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to google.com:443
浏览器刚超时。两者都在运行LibreSSL 2.2.7。
Wireshark 输出的客户端及其首选的 Google IP 非常丰富多彩,尽管难以理解:
奇怪的是,Safari 浏览器似乎正在使用服务器的 Google IP,并且没有出现在此过滤器中(这是来自请求curl)。
我以前也用过这个,现在又换了个路由器,少了一层 NAT,再试一次。我不能说它一直没有问题,但我肯定能够用共享 VPN 连接浏览 google.com 等网站。
需要注意的是,关闭 VPN 会导致共享互联网连接正常工作。
我需要采取什么后续步骤来查明为什么某些https连接不起作用,并使该网络完全正常运行?
答案1
我没有 murus 防火墙,我有点明白iptables/pf我是基于这一点发表评论的。
由于我有基础,所以我冒昧地搜索了一个源代码/截图,它将向您展示如何做到这一点鼠属。
我找到了以下来源:
1)您可以阅读鼠手册(第 7 节)
2)您可以查看类似的屏幕截图(不同的服务和端口,但逻辑相同)
为了SSH服务和端口2222,您可以在底部看到(将服务转发到 NAT 客户端):