[10.9 Mavericks] VPN funktioniert nicht mehr

[mayday]

Die oberen 3, genau die sind es.

Gruss Mayday

 

[osx_nerd]

Hier hat jemand das Problem gefunden ... also müssen wir wohl definitiv auf einen Fix von Apple warten ...

Zitat aus dem Apple Support Forum ....

https://discussions.apple.com/thread/5468992?start=45&tstart=0


Hello there as well,

I've the same issue and I investigate the problem. The reason why it does not work is, that the racoon (IKE Daemon) does not accept connections on port 4500 (IKE for NAT-T) if the source port is random generated.

Since Mavericks and IOS7 the source port from the client is no longer 4500, this lead to this problem (except you have a old VPN connection already setup bevor you update to IOS7 on your Phone).

If you are in the same network like your server, the IKE NAT-T is not used. In this case the regular port 500 (IKE) is used, and this works as expected. At the moment we have to wait if the problem is fixed by Apple.

There are two possibilities, they can adjust the clients or the server configuration. However if you want to use VPN with OS X native methods, use PPTP. This is not affected but of course it provides no Layer 2 Tunneling.

Regards,


Daniel

 

[mayday]

Dann bin ich ja mal gespannt, wie lange die brauchen.. Nachdem ich den Server ja komplett neu aufgesetzt habe, habe ich es jetzt erstmal so gelassen, habe dann doch nicht das Backup von ML eingespielt, ich nutze inzwischen den VPN Zugang der Fritzbox, ist zwar nicht so schön aber erstmal geht es so. Ich hoffe das der Fix bald kommt...

Gruss Mayday

 

[safimen]

du musst auf apple nicht warten, du kannst das Prolem wie folgt lösen:
Diese Lösung ist an einem imac mid 2010 getestet und läuft einwanfrei.
aus deinen os x mountain backup brauchst du 3 Dateien:

1. /usr/sbin/racoon
2. /System/Library/LaunchDaemons/com.apple.racoon.plist
3. /System/Library/Sandbox/Profiles/racoon.sb

einfach diese Dateien bei maverick ersetzen durch die von Mountain und mac neustarten. vorher bitte ein Backup von dieser Mavericks Dateien machen. Also ich hab es bei mir gemacht und alle VPN Protokolle laufen wie geschmiert, ipsec, L2tp openvpn....
-

 

[mayday]

ah interessant.. probiere ich gleich heute Abend mal aus.

Gruss Mayday

 

[osx_nerd]

Was soll man davon halten? Hört sich nicht so an als Apple das als Bug einstufft....

http://support.apple.com/kb/TS5313

 

[Wuchtbrumme]

das liest sich für mich erstmal so, als 1. sei man sich bewusst, dass es ein Problem gibt, dass 2. ohne Update nicht lösbar ist. ("This document will be updated once more information becomes available.")

Die vorgeschlagene "resolution" ist angesichts dessen, dass PPTP schon vor vier(?) Jahren geknackt worden ist, natürlich keine Lösung.

 

[osx_nerd]

Wäre auch peinlich wenn L2TP nur noch mit Statische WAN IP funzen würde.... klar ist NAT dreck... aber haben wir ne andere Wahl? selbst mit IP6 werden Privatkunden wohl keine festen Adressen bekommen... ist echt zum heulen mit den ISP's....

 

[peer69]

Funktioniert L2TP VPN bei euch mittlerweile wieder? Auch nach dem VPN Update bleibt bei mir der Zugriff von außen verwehrt. Von innen klappts, und wenn mein Synology NAS die Ports bekommt, dann klappt auch der Verbindungsaufbau zu einem dort laufenden VPN Server. An der NAT liegt es daher nicht. Zumindest nicht auf der Strecke "vor" dem Server.
Bin erst mit dieser Version bei OS X Server eingestiegen. Den Workaround mit den alten Racoon Dateien kann ich daher auch nicht testen, da ich diese ja nicht habe.

PPTP, mal abgesehen vom Sicherheitsaspekt, funktioniert übrigens nur noch, wenn auch ein OD eingerichtet ist. Gerade das habe ich allerdings nicht und plane das für meine mehr als überschaubare Umgebung auch nicht.

 

[osx_nerd]

ja bei mir funktioniert das VPN nach dem Update .... hast du nach dem Update von 3.02 das VPN Update nochmals eingespielt ? Wenn ich das richtig verstanden hat muss man das nach dem 3.02 Update nochmal machen, auch wenn du es nach 3.01 schon eingespielt hast .... Ob es tatsächlich so ist, kann ich dir leider noch nicht beantworten, habe den 3.01 erstmal nur Testweise im Betrieb (Externe Festplatte) und 3.02 noch nicht eingespielt ... Aber versuchen könntest ja einfach mal

 

[peer69]

Nach dem Update auf 3.02 hatte ich das VPN Update nicht erneut eingespielt. Das werde ich heute Abend nochmal versuchen (Eine erneute Installation über den Appstore (war nicht möglich) und auch mit dem Paket aus dem Download hatte ich mit 3.01 bereits versucht, das half aber leider nicht. Um sicherzugehen, dieses Update ist gemeint, richtig? --> http://support.apple.com/kb/DL1716).
In jedem Fall ein gutes Beispiel dafür, dass man sich nicht als Early Adopter hergeben sollte...

 

[osx_nerd]

Ja das Update meinte ich .... ich werde heute Nachmittag mal 3.0.2 einspielen ... vorher natürlich ein TM BackUp

Dann könnte man schonmal eingrenzen ob nur bei dir ein Problem vorliegt oder Apple das VPN Update durch 3.0.2 einfach wieder vollkommen kaputt macht



Sent from my iPhone using Apfeltalk mobile app

 

[peer69]

Habe gestern Abend getestet. Auch nach erneutem Einspielen des VPN-Updates kann ich keine Verbindung aufbauen. Das Log schweigt vollkommen. Letzte Meldung ist "Listening for connections...", Verbindungsversuche von außen werden also nicht registirert. Leite ich die Ports an den NAS weiter, klappt der Aufbau problemlos. Ich würde daher die Schuld erstmal nicht bei der NAT auf der Seite des Routers sehen, habe aber auch keine Idee was dazwischen die Verbindung noch blockieren könnte, da die Ports aus dem LAN heraus am OS X Server problemlos erreichbar sind - dann taucht natürlich auch eine entsprechende Verbindung im Log auf.
Also entweder habe ich es hier mit einem sehr mysteriösen Problem zu tun oder der VPN-Bug war für mich, warum auch immer, nicht durch das Update zu lösen.
Würde ich nach einem Downgrade auf ML noch die "alte" Version von OS X Server aus dem Appstore erhalten? Vermutlich ja, aber bevor ich mich am Wochenende ärgere, frag ich lieber .

 

[osx_nerd]

Bei dir muss irgendwas anderes braun sein, ich habe gerade auf 3.0.2 geupdatet.... das VPN Update hatte ich nach 3.0.1 eingespielt .... nach 3.0.2 nicht nochmal ... VPN intern und Extern funktionieren weiterhin einwandfrei


Sent from my iPad using Apfeltalk mobile app

 

[osx_nerd]

Ports: 1701 UDP , 4500 UDP , 500 UDP , VPN Passtrough - Protokoll ESP

Nur mal so zur Sicherheit .... Vielleicht benötigt die NAS ja andere oder weniger Ports


Sent from my iPad using Apfeltalk mobile app

 

[peer69]

Die Ports passten. Ich habe den Router testweise getauscht. Jetzt klappt das VPN plötzlich. Der alte Router wird jetzt auf Werkseinstellungen gesetzt und mal sehen ob ich dann eine Verbindung bekomme. Vielleicht verschluckt der Router sich bei der Weiterleitung an den Server. Wobei zwischen Server und NAS eigentlich kaum ein Unterschied besteht, zumindest für die NAT. Beide haben eine feste IP und hängen über die gleichen zwei Switches hinter dem Router. Naja, ich werde berichten. Ein erster Erfolg ist immerhin da und es scheint wirklich nicht am OS X Server zu liegen .

 

[peer69]

OK. Den Router habe ich in den Auslieferungszustand versetzt und alles von Hand neu eingerichtet. Zunächst hatte ich ein Backup der Einstellungen eingespielt, danach trat das Problem wieder auf. Jetzt funktioniert allerdings alles. Warum auch immer, eine sinnvolle Erklärung habe ich dafür nicht.
Danke Dir vielmals für Deine Hilfe!

 

[osx_nerd]

Ich habe mir mal selber so ein Problem eingebaut .... DHCP hatte der Mountain Lion Server gemacht und ich habe auf dem Mac Mini via Externe Festplatte Mavericks Server gebotet, in der Zeit hat die Fritzbox den DHCP Dienst übernommen. Der Server hat von der Fritzbox eine neue IP bekommen und die Fritzbox ist ja schlau und ändert die Portfreigaben , wenn die MAC Adressen übereinstimmen. Als ich dann den Mountain Lion Server wieder gebootet habe, war die Fritzbox nicht mehr so schlau, weil sie ja kein DHCP mehr war... und ich wunderte mich warum alle Dienste im LAN erreichbar waren, aber über die Domain von Extern nicht. Was mich zusätzlich völlig verwirrt hat, war das ich den Profile Manager von einen Mac Client über die Domain aufrufen konnte. (war wohl noch irgendwo ordentlich im Cache)

Irgendwann habe ich aus lauter Verzweiflung die Fritzbox mal kontrolliert und den Fehler gefunden

Vielleicht war es bei dir ja ein ähnliches Phänomen.... durchs hin und her schalten zwischen NAS und Server ..

Aber ist jetzt sicherlich müssig den Fehler zu suchen, zumal es ja nun funktioniert

 

[peer69]

Richtig, wobei es schon schön wäre, zu wissen, wer hier gezuckt und mich Nerven gekostet hat. Aber was solls...
Nach ein paar Tagen läuft alles einigermaßen reibungslos. Manchmal klappt die Authentifizierung merkwürdigerweise nicht. Beim zweiten Versuch klappt es dann allerdings. Warum auch immer, damit kann ich im Zweifel aber noch leben.