Apple の脅威の通知と金銭目当てのスパイウェアへの対策について

Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。

しばらく返答が寄せられていないようです。 再度ディスカッションを開始するには、新たに質問してください。

ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

OSX Lion ServerでVPN接続が上手く出来ない

現在OSX Server Tiger 10.4.11 でサーバーの運用をしています。

サーバー管理からVPNを設定してL2TPで今までは難なく繋がっていたのですが、

今回サーバーを新設する事にしてMacMini Serverを用意しました。

Mini用に用意したOSはLion Server 10.7.2です。



Lion serverのVPN設定に手間はかからないだろうと思っていたのですが行き詰まっています。


構成的にはBBR-4HG(かなり古い)というルータを親にし、その下にMacMiniやAirMacなど、いろいろぶら下がっていて

AirMacでは10.0.1.xxxのDHCPアドレスを用意してイントラ用に運用しています。


こんな感じです

BBR-4HG

┣ (Ethernet 210.xxx.xxx.100) AirMac Extreame

┗ (10.0.1.xxx) MacBook等

┣ (Ethernet 210.xxx.xxx.101) Tigerさん ー (Ethernet:10.0.1.101)

┗ (Ethernet 210.xxx.xxx.102) MacMini ー (Wi-Fi:10.0.1.102)


※MacMiniのファイアーウォールはすべて切ってあります


Miniの環境設定で行ったのはEthertnetとWi-Fiを設定し、インターネットへの接続確認。

ServerアプリケーションからVPNを設定し、共有シークレットとアドレス範囲を指定してスイッチを入れました。


MacBookからVPNの設定をし、10.0.1.102 (仮) で接続すると問題なく繋がります。

ただ、210.xxx.xxx.102へ繋ごうとすると「L2TP cannot connect to the server」となり、接続できません。

BBR-4HGやAirMacの設定は変えていないのですがLion serverの方へは外側からVPNが上手く繋がりません。

Tigerの方へは内からも外からも問題なく繋がります。


10.4と10.7では根本的に設定が違うのでしょうか?


サーバー側のログを見る感じでは

「--> Client with address = 10.0.xxx.xxx has hungup」と、VPN設定で指定したアドレス範囲を延々と繰り返している感じです。



たぶんMacMiniまでは到達して、接続予定のアドレスは返されているのでしょうが

MacBookまでは帰ってこず、どこかで止まっているのではないかと思っています。



もうひとつ不思議な事なのかどうか分からないのですが、10.0.1.102で接続した状態だと210.xxx.xxx.102へVPNで繋ぐことができます。

中から繋がないと210.xxx.xxx.102へ繋げないというのは全く役に立たないのですが。


自分でもよくわからない状態なので、この状態を打破できるきっかけでも教えてもらえたらと思います(・ω・; )

Mac mini, Mac OS X v10.7.2 Lion

投稿日 2012/01/27 20:01

返信
返信: 19
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/01/28 10:57 xy への返信

OSX Serverのファイアウオールの方は空けてありますか。


Server側のファイアーウォールは解除してチェックを行っています。

ファイアウォール等の管理はServer Admin Toolsを利用して行っています。

もちろんOSXのシステム環境設定のファイアウォールも切ってあります。

返信
ユーザのユーザプロフィール: M3CSL
M3CSL
ユーザレベル: レベル 4
1,263 ポイント

2012/01/28 14:38 ApHato への返信

ちょこっと調べてみたら、どこでもMy Mac(BTMM)をONにしているとダメみたいなことがヒットしました。BTMMにルータのUPnPの4500番が占有されてしまうらしいです。


で、僕のところのSnow Leopard Serverでやってみたところ、サーバ上でMobileMeのBTMMをONにすると同じように繋がりませんでした。そういうわけで、これは仕様かもしれないですね(BTMMやってるんだからVPNいらねーだろ、みたいなw)。


ちなみに、クライアントの方はBTMMをONにしても関係なくVPN接続できました(あたりまえですが)。



追記)

どうしてもどこでも My Mac と併用したい場合には、PPTPで接続すると良いかもしれません(PPTPの場合は4500番は使わないので)。

返信
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/01/28 20:35 M3CSL への返信

「どこでもMyMac」が500と4500を勝手につかんでVPN接続できなくなるというのは調べたのですが、ぶら下がってるMacやiPod Touch、iPadなど、どれも「どこでもMyMac」を使った事が一度もありません。

どこでもMyMacというか、MobileMeのログインすらした事がありません。

もちろんiCloudも利用していません。


これらはログインした事がなくても起動していることになるのでしょうか?


月曜までは環境を触ることができませんので、月曜に接続テスト用のMacとサーバー以外のぶら下がっているMacやiPod、iPadなどの電源をすべて落として試してみようと思います。

返信
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/01/30 13:24 M3CSL への返信

接続用のMacとサーバー以外のMacやiPad等の電源をすべて切り、再度VPN接続のテストをしてみました。

結果としては現状維持で全く変化がありませんでした。


ルータのポートもすべて解放してテストしてみましたがこちらもやはりダメなようです。

返信
ユーザのユーザプロフィール: M3CSL
M3CSL
ユーザレベル: レベル 4
1,263 ポイント

2012/01/30 15:22 ApHato への返信

接続時のログはどうなってますか?

正常に接続している僕の環境のログはこんな↓です。


---最初はIKE(共有シークレットのキー交換)認証

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: receive success. (Responder, Main-Mode message 1).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: transmit success. (Responder, Main-Mode message 2).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: receive success. (Responder, Main-Mode message 3).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: transmit success. (Responder, Main-Mode message 4).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKEv1 Phase1 AUTH: success. (Responder, Main-Mode Message 5).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: receive success. (Responder, Main-Mode message 5).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKEv1 Phase1 Responder: success. (Responder, Main-Mode).

Jan 30 14:14:52 (サーバ名) racoon[139]: IKE Packet: transmit success. (Responder, Main-Mode message 6).

Jan 30 14:14:53 (サーバ名) racoon[139]: Connecting.

Jan 30 14:14:53 (サーバ名) racoon[139]: IKE Packet: receive success. (Responder, Quick-Mode message 1).

Jan 30 14:14:53 (サーバ名) racoon[139]: IKE Packet: transmit success. (Responder, Quick-Mode message 2).

Jan 30 14:14:53 (サーバ名) racoon[139]: IKE Packet: receive success. (Responder, Quick-Mode message 3).

Jan 30 14:14:53 (サーバ名) racoon[139]: IKEv1 Phase2 Responder: success. (Responder, Quick-Mode).

Jan 30 14:14:53 (サーバ名) racoon[139]: Connected.---キー交換完了


---ここから本番のVPN接続

Jan 30 14:14:53 (サーバ名) vpnd[73]: Incoming call... Address given to client = 192.168.0.224

Jan 30 14:14:53 (サーバ名) com.apple.ppp.l2tp[73]: 2012-01-30 14:14:53 JST Incoming call... Address given to client = 192.168.0.224 ---配布するローカルIPアドレス

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53: --- last message repeated 1 time ---

Jan 30 14:14:53 (サーバ名) pppd[62265]: pppd 2.4.2 (Apple version 412.5) started by root, uid 0

Jan 30 14:14:53 (サーバ名) pppd[62265]: L2TP incoming call in progress from '接続するPCのIPアドレス'...

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53 (サーバ名) pppd[62265]: L2TP connection established.

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53 (サーバ名) pppd[62265]: Connect: ppp0 <--> socket[34:18]

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53: --- last message repeated 9 times ---

Jan 30 14:14:53 (サーバ名) pppd[62265]: CHAP peer authentication succeeded for ユーザ名

Jan 30 14:14:53 (サーバ名) pppd[62265]: DSAccessControl plugin: User 'ユーザ名' authorized for access

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53: --- last message repeated 1 time ---

Jan 30 14:14:53 (サーバ名) pppd[62265]: Unsupported protocol 0x8057 received

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53 (サーバ名) pppd[62265]: local IP address VPNサーバIPのアドレス

Jan 30 14:14:53 (サーバ名) pppd[62265]: remote IP address 192.168.0.224

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53 (サーバ名) pppd[62265]: l2tp_wait_input: Address added. previous interface setting (name: en0, address: VPNサーバIPのアドレス), current interface setting (name: ppp0, family: PPP, address: VPNサーバIPのアドレス, subnet: 255.255.255.0, destination: 192.168.0.224).

Jan 30 14:14:53 (サーバ名) /usr/sbin/serialnumberd[934]: Responding to network change notification.

Jan 30 14:14:53 (サーバ名) configd[32]: network configuration changed.

返信
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/01/30 15:54 M3CSL への返信

ログ見る感じではこんな感じです。


========== 接続元のMacBookログ ==========

Mon Jan 30 15:36:24 2012 : L2TP connecting to server 'MacMiniさん' (210.xxx.xxx.102)...

Mon Jan 30 15:36:24 2012 : IPSec connection started

Mon Jan 30 15:36:24 2012 : IPSec phase 1 client started

Mon Jan 30 15:36:24 2012 : IPSec phase 1 server replied

Mon Jan 30 15:36:25 2012 : IPSec phase 2 started

Mon Jan 30 15:36:25 2012 : IPSec phase 2 established

Mon Jan 30 15:36:25 2012 : IPSec connection established

Mon Jan 30 15:36:25 2012 : L2TP sent SCCRQ

Mon Jan 30 15:36:45 2012 : L2TP cannot connect to the server



========== 接続先のサーバーログ ==========

2012-01-30 15:42:01 JST Incoming call... Address given to client = 10.0.1.80

Mon Jan 30 15:42:01 2012 : Directory Services Authentication plugin initialized

Mon Jan 30 15:42:01 2012 : Directory Services Authorization plugin initialized

Mon Jan 30 15:42:01 2012 : L2TP incoming call in progress from 'ルータIP'...

Mon Jan 30 15:42:01 2012 : L2TP received SCCRQ

Mon Jan 30 15:42:01 2012 : L2TP sent SCCRP

2012-01-30 15:42:02 JST Incoming call... Address given to client = 10.0.1.81

Mon Jan 30 15:42:02 2012 : Directory Services Authentication plugin initialized

Mon Jan 30 15:42:02 2012 : Directory Services Authorization plugin initialized

Mon Jan 30 15:42:02 2012 : L2TP incoming call in progress from 'ルータIP'...

Mon Jan 30 15:42:02 2012 : L2TP received SCCRQ

Mon Jan 30 15:42:02 2012 : L2TP sent SCCRP

2012-01-30 15:42:04 JST Incoming call... Address given to client = 10.0.1.82

Mon Jan 30 15:42:04 2012 : Directory Services Authentication plugin initialized

Mon Jan 30 15:42:04 2012 : Directory Services Authorization plugin initialized

Mon Jan 30 15:42:04 2012 : L2TP incoming call in progress from 'ルータIP'...

Mon Jan 30 15:42:04 2012 : L2TP received SCCRQ

Mon Jan 30 15:42:04 2012 : L2TP sent SCCRP

2012-01-30 15:42:08 JST Incoming call... Address given to client = 10.0.1.83

Mon Jan 30 15:42:08 2012 : Directory Services Authentication plugin initialized

Mon Jan 30 15:42:08 2012 : Directory Services Authorization plugin initialized

Mon Jan 30 15:42:08 2012 : L2TP incoming call in progress from 'ルータIP'...

Mon Jan 30 15:42:08 2012 : L2TP received SCCRQ

Mon Jan 30 15:42:08 2012 : L2TP sent SCCRP

2012-01-30 15:42:16 JST Incoming call... Address given to client = 10.0.1.84

Mon Jan 30 15:42:16 2012 : Directory Services Authentication plugin initialized

Mon Jan 30 15:42:16 2012 : Directory Services Authorization plugin initialized

Mon Jan 30 15:42:16 2012 : L2TP incoming call in progress from 'ルータIP'...

Mon Jan 30 15:42:16 2012 : L2TP received SCCRQ

Mon Jan 30 15:42:16 2012 : L2TP sent SCCRP

2012-01-30 15:42:21 JST --> Client with address = 10.0.1.80 has hungup

2012-01-30 15:42:22 JST --> Client with address = 10.0.1.81 has hungup

2012-01-30 15:42:24 JST --> Client with address = 10.0.1.82 has hungup

2012-01-30 15:42:28 JST --> Client with address = 10.0.1.83 has hungup

2012-01-30 15:42:36 JST --> Client with address = 10.0.1.84 has hungup



IKEとか全然表示されてないですね。

返信
ユーザのユーザプロフィール: M3CSL
M3CSL
ユーザレベル: レベル 4
1,263 ポイント

2012/01/30 19:02 ApHato への返信

全く同様な問題が本国ディスカッションでもいくつか議論されるのを見ました。その中の1つには、ルータとして使っているTimeCapsuleのファームウェアが最新だとダメ、7.4.2にダウングレードしたら問題なく繋がった、のような記載がありました。もしかするとお使いのBBR-4HGとLion Server VPNの間に互換性の問題があるのかも。


※僕の環境は最上位ルータ上でunnumberdで構成しているので、NAT/IPマスカレードは使用していません。

返信
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/01/31 17:28 M3CSL への返信

少し返信遅くなりました。

ルータのファームウェアを確認したところ、最新版が1.44となっており、現状の物が1.32とかなり古い物でした。

試しに最新版に更新したところ、今まで繋がっていたTigerさん(210.xxx.xxx.101)に繋がらなくなりました。


ルータの公式にて


【制限事項】 本バージョンでは、IP unnumbered接続ができない場合があります。 IP unnumberedでお使いの場合は、Ver.1.43をお使いください。

とありましたので、1.43に落とすとTigerさんには繋がるようになりました。

ただ、MacMiniは1.44にあげたときも、1.43に落としたときも繋がっていません。


現在の1.43のファームウェアでのログは以前アップした物と同じになっています。

返信
ユーザのユーザプロフィール: M3CSL
M3CSL
ユーザレベル: レベル 4
1,263 ポイント

2012/01/31 17:55 ApHato への返信

ApHatoさんのところもunnumberdで構成されているということなので、ログを比べてみました。気になるのは、


L2TP incoming call in progress from 'ルータIP'...


僕の方では、ルータIPアドレスからの呼び出しじゃなくて、接続元が属すネットワークのグローバルIPアドレスになっています。この辺に何かヒントがあるのかな。ネットワークの構成は問題ないと思いますし、はっきりしたことは分かりませんがルータに原因があるような気がするんですよね。

返信
ユーザのユーザプロフィール: M3CSL
M3CSL
ユーザレベル: レベル 4
1,263 ポイント

2012/01/31 18:18 ApHato への返信

L2TP incoming call in progress from 'ルータIP'... に関連して・・・


TigerだとOKというのが引っ掛かりますが、


http://buffalo.jp/download/manual/html/bro180/manual/router/f_list/l_bbr4hg-3.html


の一番下の方には、BBR-4HGの仕様として、「※IPsecパススルーはESPトンネルモードのみの対応です。トランスポートモードやその他のIPsec仕様には対応しておりません。」と書かれていました。OSX ServerのVPNってトランスポートモード(端末〜端末)ではなかったでしょうか?

返信
ユーザのユーザプロフィール: ApHato
ApHato 作成者
ユーザレベル: レベル 1
0 ポイント

2012/02/01 15:47 M3CSL への返信

OSX ServerのVPNってトランスポートモード(端末〜端末)ではなかったでしょうか?

このトランスポートモードの問題ならTigerでも繋がらない気がしますね。


それで、あれからいろいろと手を打ってみました。

アップルケアのサポートの方に聞いてみた感じでは、サーバー側の設定には問題はなさそうだという事でした。

で、今度はルーター元のバッファローにも問い合わせてみたのですが、こちらは「もしかしたらWルータが問題を起こしているのではないか?」というものでした。

試しにAirMacを止めてVPNのアドレス範囲を192.168.1.xxxにして接続をしてみる物の、全く同じ結果に終わりました。

返信

OSX Lion ServerでVPN接続が上手く出来ない

Apple サポートコミュニティへようこそ
Apple ユーザ同士でお使いの製品について助け合うフォーラムです。Apple ID を使ってご参加ください。
詳しくはこちら サインアップ