Apple の脅威の通知と金銭目当てのスパイウェアへの対策について

Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。

しばらく返答が寄せられていないようです。再度ディスカッションを開始するには、新たに質問してください。

ApHato 作成者

レベル 1

0 ポイント

OSX Lion ServerでVPN接続が上手く出来ない

現在OSX Server Tiger 10.4.11 でサーバーの運用をしています。

サーバー管理からVPNを設定してL2TPで今までは難なく繋がっていたのですが、

今回サーバーを新設する事にしてMacMini Serverを用意しました。

Mini用に用意したOSはLion Server 10.7.2です。

Lion serverのVPN設定に手間はかからないだろうと思っていたのですが行き詰まっています。

構成的にはBBR-4HG（かなり古い）というルータを親にし、その下にMacMiniやAirMacなど、いろいろぶら下がっていて

AirMacでは10.0.1.xxxのDHCPアドレスを用意してイントラ用に運用しています。

こんな感じです

BBR-4HG

┣ (Ethernet 210.xxx.xxx.100) AirMac Extreame

｜ ┗ (10.0.1.xxx) MacBook等

┣ (Ethernet 210.xxx.xxx.101) Tigerさんー (Ethernet：10.0.1.101)

┗ (Ethernet 210.xxx.xxx.102) MacMini ー (Wi-Fi：10.0.1.102)

※MacMiniのファイアーウォールはすべて切ってあります

Miniの環境設定で行ったのはEthertnetとWi-Fiを設定し、インターネットへの接続確認。

ServerアプリケーションからVPNを設定し、共有シークレットとアドレス範囲を指定してスイッチを入れました。

MacBookからVPNの設定をし、10.0.1.102 (仮) で接続すると問題なく繋がります。

ただ、210.xxx.xxx.102へ繋ごうとすると「L2TP cannot connect to the server」となり、接続できません。

BBR-4HGやAirMacの設定は変えていないのですがLion serverの方へは外側からVPNが上手く繋がりません。

Tigerの方へは内からも外からも問題なく繋がります。

10.4と10.7では根本的に設定が違うのでしょうか？

サーバー側のログを見る感じでは

「--> Client with address = 10.0.xxx.xxx has hungup」と、VPN設定で指定したアドレス範囲を延々と繰り返している感じです。

たぶんMacMiniまでは到達して、接続予定のアドレスは返されているのでしょうが

MacBookまでは帰ってこず、どこかで止まっているのではないかと思っています。

もうひとつ不思議な事なのかどうか分からないのですが、10.0.1.102で接続した状態だと210.xxx.xxx.102へVPNで繋ぐことができます。

中から繋がないと210.xxx.xxx.102へ繋げないというのは全く役に立たないのですが。

自分でもよくわからない状態なので、この状態を打破できるきっかけでも教えてもらえたらと思います(・ω・; )

Mac mini, Mac OS X v10.7.2 Lion

投稿日 2012/01/27 20:01

返信

返信: 19

M3CSL

レベル 4

1,263 ポイント

2012/02/03 18:00 ApHato への返信

その後何か進展ありましたか？　僕のところもそのうちLion Serverにしなければならない時がやって来るので、その時のためにと思って試してみました。

Lion Server 10.7.3 をクリーンインストールして、サーバ管理.appでOpen Directoryの設定、Server.appでVPN設定しただけのシンプルな構成です。WGMで管理者以外にユーザアカウントを１つ作成して、接続にはそのアカウントを使用、外部のフレッツ光／OCN／PPPoEからiMac OSX10.7.3で接続してみましたが、何事もなくさらっと繋がってしまいました。

DNS（プライマリ）は自前で別に立てたTiger Serverに任せています。逆引きはGUIにたよらず手動で書き権限委譲で運用。今回立ち上げたテストサーバはMac Pro 2009で、Open Directoryのマスターにしてあります。ゲートウェイのルータはNetGenesis OPT G5で、それなりのファイヤウォールを設定し、16個の固定IPをunnumberedしてOSX Serverが３台と他に数台ぶら下がっている環境です。

参考までに、外部から接続した時のLion Serverのログを以下に貼り付けておきます。

----------

racoon[1152]: IKE Packet: transmit success. (Phase1 Retransmit).

racoon[1152]: Connecting.

racoon[1152]: IPSec Phase1 started (Initiated by peer).

racoon[1152]: IKE Packet: receive success. (Responder, Main-Mode message 1).

racoon[1152]: IKE Packet: transmit success. (Responder, Main-Mode message 2).

racoon[1152]: IKE Packet: receive success. (Responder, Main-Mode message 3).

racoon[1152]: IKE Packet: transmit success. (Responder, Main-Mode message 4).

racoon[1152]: IKEv1 Phase1 AUTH: success. (Responder, Main-Mode Message 5).

racoon[1152]: IKE Packet: receive success. (Responder, Main-Mode message 5).

racoon[1152]: IKEv1 Phase1 Responder: success. (Responder, Main-Mode).

racoon[1152]: IKE Packet: transmit success. (Responder, Main-Mode message 6).

racoon[1152]: IPSec Phase1 established (Initiated by peer).

racoon[1152]: IPSec Phase2 started (Initiated by peer).

racoon[1152]: IKE Packet: receive success. (Responder, Quick-Mode message 1).

racoon[1152]: IKE Packet: transmit success. (Phase1 Retransmit).

racoon[1152]: IKE Packet: transmit success. (Responder, Quick-Mode message 2).

racoon[1152]: IKE Packet: receive success. (Responder, Quick-Mode message 3).

racoon[1152]: IKEv1 Phase2 Responder: success. (Responder, Quick-Mode).

racoon[1152]: IPSec Phase2 established (Initiated by peer).

vpnd[1160]: Incoming call... Address given to client = 192.168.0.83

com.apple.ppp.l2tp[1160]: 2012-02-03 16:03:30 JST Incoming call... Address given to client = 192.168.0.83

pppd[2528]: pppd 2.4.2 (Apple version 560.13) started by root, uid 0

pppd[2528]: L2TP incoming call in progress from '122.xxx.xxx.xxx'... ---（サーバ側から見た）接続元のIPアドレス

pppd[2528]: L2TP connection established.

pppd[2528]: Connect: ppp0 <--> socket[34:18]

pppd[2528]: CHAP peer authentication succeeded for (Username)

pppd[2528]: DSAccessControl plugin: User 'ysatoh' authorized for access

pppd[2528]: Unsupported protocol 0x8057 received

pppd[2528]: local IP address 221.xxx.xxx.xxx ---VPNサーバIPのアドレス

pppd[2528]: remote IP address 192.168.0.83

pppd[2528]: l2tp_wait_input: Address added. previous interface setting (name: en1, address: 221.xxx.xxx.xxx), current interface setting (name: ppp0, family: PPP, address: 221.xxx.xxx.xxx, subnet: 255.255.255.240, destination: 192.168.0.83).

configd[21]: network configuration changed.

----------

ApHatoさんのところのログと全く違いますね。あと、サーバのローカル側は、AirMacでなく有線で繋いでいるのが違いと言えば違いです。昨日出た10.7.３アップデートでVPN関連の修正が入っていたので、まだでしたら試してみては？

返信

ApHato 作成者

レベル 1

0 ポイント

2012/02/03 18:35 M3CSL への返信

情報ありがとうございます。

いつの間にアップデートが！

ちょっと試してみます。

これですんなり通るようになれば良いのだけれども。。。

返信

ApHato 作成者

レベル 1

0 ポイント

2012/02/03 19:04 M3CSL への返信

アップデートしたらすんなり繋がりました(゜Д゜)

原因が何かさっぱり分からない状態ということになるので、これはこれで凄い気持ち悪いですね。。

M3CSLさん、長々とありがとうございました。

最後に接続できたときのログをつけておきます。

---- 接続テストのMacBook ----

Fri Feb 3 18:44:14 2012 : L2TP connecting to server 'MacMiniさん' (210.xxx.xxx.102)...

Fri Feb 3 18:44:14 2012 : IPSec connection started

Fri Feb 3 18:44:15 2012 : IPSec connection established

Fri Feb 3 18:44:15 2012 : L2TP connection established.

Fri Feb 3 18:44:15 2012 : Using interface ppp0

Fri Feb 3 18:44:15 2012 : Connect: ppp0 <--> socket[34:18]

Fri Feb 3 18:44:15 2012 : route_interface: write routing socket failed, File exists. (address 10.0.1.0, mask 255.255.255.0, interface ppp0, host 0).

Fri Feb 3 18:44:15 2012 : local IP address 10.0.1.80

Fri Feb 3 18:44:15 2012 : remote IP address 210.xxx.xxx.102

Fri Feb 3 18:44:15 2012 : primary DNS address プライマリDNSアドレス

Fri Feb 3 18:44:15 2012 : secondary DNS address セカンダリDNSアドレス

Fri Feb 3 18:44:15 2012 : l2tp_wait_input: Address added. previous interface setting (name: en0, address: 10.0.1.2), current interface setting (name: ppp0, family: PPP, address: 10.0.1.80, subnet: 255.0.0.0, destination: 210.xxx.xxx.102).

---- 接続先MacMiniさん ----

Fri Feb 3 18:44:15 2012 : Directory Services Authentication plugin initialized

Fri Feb 3 18:44:15 2012 : Directory Services Authorization plugin initialized

Fri Feb 3 18:44:15 2012 : L2TP incoming call in progress from '接続元のグローバルIP'...

Fri Feb 3 18:44:15 2012 : L2TP received SCCRQ

Fri Feb 3 18:44:15 2012 : L2TP sent SCCRP

Fri Feb 3 18:44:15 2012 : L2TP received SCCCN

Fri Feb 3 18:44:15 2012 : L2TP received ICRQ

Fri Feb 3 18:44:15 2012 : L2TP sent ICRP

Fri Feb 3 18:44:15 2012 : L2TP received ICCN

Fri Feb 3 18:44:15 2012 : L2TP connection established.

Fri Feb 3 18:44:15 2012 : using link 0

Fri Feb 3 18:44:15 2012 : Using interface ppp0

Fri Feb 3 18:44:15 2012 : Connect: ppp0 <--> socket[34:18]

Fri Feb 3 18:44:15 2012 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x3a12c14c> <pcomp> <accomp>]

Fri Feb 3 18:44:15 2012 : rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x6db22790> <pcomp> <accomp>]

Fri Feb 3 18:44:15 2012 : lcp_reqci: returning CONFACK.

Fri Feb 3 18:44:15 2012 : sent [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x6db22790> <pcomp> <accomp>]

Fri Feb 3 18:44:15 2012 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x3a12c14c> <pcomp> <accomp>]

Fri Feb 3 18:44:15 2012 : sent [LCP EchoReq id=0x0 magic=0x3a12c14c]

Fri Feb 3 18:44:15 2012 : sent [CHAP Challenge id=0xea <473d35485c513139226333293604782a>, name = "MacMiniさん"]

Fri Feb 3 18:44:15 2012 : rcvd [LCP EchoReq id=0x0 magic=0x6db22790]

Fri Feb 3 18:44:15 2012 : sent [LCP EchoRep id=0x0 magic=0x3a12c14c]

Fri Feb 3 18:44:15 2012 : rcvd [LCP EchoRep id=0x0 magic=0x6db22790]

Fri Feb 3 18:44:15 2012 : rcvd [CHAP Response id=0xea <208ced73cbf4b7dcaf39c641d1e2c2710000000000000000d745a32c3f608747987fdeea677c47652dd5b902c3b0a8f900>, name = "ユーザー名"]

Fri Feb 3 18:44:15 2012 : DSAuth plugin: unsupported authen authority: recved Kerberosv5;;ユーザー名@LKDC:SHA1.8508D7109DFDCBED8F218B74DC970817522A5BF4;LKDC:SHA1.8508D7109DFDCBED8F218B74DC970817522A5BF4, want ApplePasswordServer

Fri Feb 3 18:44:15 2012 : sent [CHAP Success id=0xea "S=467597AD3DB835389F5D75B2CCD54B325C7C3A97 M=Access granted"]

Fri Feb 3 18:44:15 2012 : CHAP peer authentication succeeded for tunashima

Fri Feb 3 18:44:15 2012 : DSAccessControl plugin: User 'ユーザー名' authorized for access

Fri Feb 3 18:44:15 2012 : sent [IPCP ConfReq id=0x1 <addr 210.xxx.xxx.102>]

Fri Feb 3 18:44:15 2012 : sent [ACSCP ConfReq id=0x1]

Fri Feb 3 18:44:15 2012 : rcvd [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]

Fri Feb 3 18:44:15 2012 : ipcp: returning Configure-NAK

Fri Feb 3 18:44:15 2012 : sent [IPCP ConfNak id=0x1 <addr 10.0.1.80> <ms-dns1 プライマリDNSアドレス> <ms-dns3 セカンダリDNSアドレス>]

Fri Feb 3 18:44:15 2012 : rcvd [IPV6CP ConfReq id=0x1 <addr fe80::0225:00ff:fecc:df64>]

Fri Feb 3 18:44:15 2012 : Unsupported protocol 0x8057 received

Fri Feb 3 18:44:15 2012 : sent [LCP ProtRej id=0x2 80 57 01 01 00 0e 01 0a 02 25 00 ff fe cc df 64]

Fri Feb 3 18:44:15 2012 : rcvd [ACSCP ConfReq id=0x1 <route vers 16777216> <domain vers 16777216>]

Fri Feb 3 18:44:15 2012 : sent [ACSCP ConfRej id=0x1 <route vers 16777216>]

Fri Feb 3 18:44:15 2012 : rcvd [IPCP ConfAck id=0x1 <addr 210.xxx.xxx.102>]

Fri Feb 3 18:44:15 2012 : rcvd [ACSCP ConfAck id=0x1]

Fri Feb 3 18:44:15 2012 : rcvd [IPCP ConfReq id=0x2 <addr 10.0.1.80> <ms-dns1 プライマリDNSアドレス> <ms-dns3 セカンダリDNSアドレス>]

Fri Feb 3 18:44:15 2012 : ipcp: returning Configure-ACK

Fri Feb 3 18:44:15 2012 : sent [IPCP ConfAck id=0x2 <addr 10.0.1.80> <ms-dns1 プライマリDNSアドレス> <ms-dns3 セカンダリDNSアドレス>]

Fri Feb 3 18:44:15 2012 : ipcp: up

Fri Feb 3 18:44:15 2012 : found interface en1 for proxy arp

Fri Feb 3 18:44:15 2012 : local IP address 210.xxx.xxx.102

Fri Feb 3 18:44:15 2012 : remote IP address 10.0.1.80

Fri Feb 3 18:44:15 2012 : l2tp_wait_input: Address added. previous interface setting (name: en0, address: 210.xxx.xxx.102), current interface setting (name: ppp0, family: PPP, address: 210.xxx.xxx.102, subnet: 255.255.255.xxx, destination: 10.0.1.80).

Fri Feb 3 18:44:15 2012 : rcvd [ACSCP ConfReq id=0x2 <domain vers 16777216>]

Fri Feb 3 18:44:15 2012 : sent [ACSCP ConfAck id=0x2 <domain vers 16777216>]

Fri Feb 3 18:44:15 2012 : sent [ACSP data <payload len 18, packet seq 0, CI_DOMAINS, flags: START END REQUIRE-ACK>

<domain: name ドメイン名>]

Fri Feb 3 18:44:15 2012 : rcvd [IP data <src addr 10.0.1.80> <dst addr 255.255.255.255> <BOOTP Request> <type INFORM> <client id 0x08000000010000> <parameters = 0x6 0x2c 0x2b 0x1 0xf9 0xf>]

Fri Feb 3 18:44:15 2012 : sent [IP data <src addr 210.xxx.xxx.102> <dst addr 10.0.1.80> <BOOTP Reply> <type ACK> <server id 0xd2e6fcc3> <domain name "ドメイン名">]

Fri Feb 3 18:44:15 2012 : rcvd [ACSP data <payload len 0, packet seq 0, CI_DOMAINS, flags: ACK>]

返信

M3CSL

レベル 4

1,263 ポイント

2012/02/03 19:55 ApHato への返信

アップデートしたらすんなり繋がりました(゜Д゜)
原因が何かさっぱり分からない状態ということになるので、これはこれで凄い気持ち悪いですね。。

よかったですね。原因は10.7.2以前のバグということでいいんじゃないでしょうか（笑）こちらこそ勉強になりました。

返信

OSX Lion ServerでVPN接続が上手く出来ない