Mam serwer Synology NAS (DSM 5.4), na którym uruchamiam serwer OpenVPN (na porcie tcp/1194
adres IP to 192.168.1.10
). 64666
Przekierowałem port mojego zewnętrznego adresu IP na ten adres i port w routerze dostępowym (TP-Link AS1200).
Problem: Nie mogę połączyć się z klientem OpenVPN z hosta internetowego:
Tue Aug 23 15:05:37 2016 Attempting to establish TCP connection with [AF_INET]myip:64666 [nonblock]
Tue Aug 23 15:05:47 2016 TCP: connect to [AF_INET]myip:64666 failed, will try again in 5 seconds: Connection timed out
(...)
Podczas uruchamiania nmap
z sieci wewnętrznej (tej, w której NAS jest włączony) otrzymuję poprawną odpowiedź:
C:\Windows\System32>nmap 192.168.1.10 -p 1194 -sV
Starting Nmap 7.12 ( https://nmap.org ) at 2016-08-23 16:46 Central European Daylight Time
Nmap scan report for 192.168.1.10
Host is up (0.00s latency).
PORT STATE SERVICE VERSION
1194/tcp open openvpn OpenVPN
MAC Address: 00:11:32:05:92:71 (Synology Incorporated)
To samo nmap
z hosta internetowego (bez zapory ogniowej):
nmap -sV myip -p 64666 -P0
Starting Nmap 7.01 ( https://nmap.org ) at 2016-08-23 15:08 UTC
Nmap scan report for myname.mydomain.blah (myip)
Host is up.
PORT STATE SERVICE VERSION
64666/tcp filtered unknown
Aby upewnić się, że przekazywanie i brak zapory ogniowej są prawidłowe, uruchomiłem serwer sieciowy na lokalnym hoście i przekierowałem port 9999
na ten serwer. Tym razem nmap
z Internetu przechodzi:
nmap -sV myip -p 9999 -P0
Starting Nmap 7.01 ( https://nmap.org ) at 2016-08-23 15:08 UTC
Nmap scan report for myname.mydomain.blah (myip)
Host is up.
PORT STATE SERVICE VERSION
9999/tcp open http WSGIServer 0.2 (Python 3.5.2)
Wiem, że takie zachowanie jest typowe dla środowisk zapory lub złego przekierowania portu. Właśnie dlatego testowałem na nieokreślonych portach i tylko jeden OpenVPN jest problematyczny. Ponadto nie ma zapory ogniowej ani IPS w ruchu przychodzącym (na serwerze NAS) i wychodzącym (na hoście internetowym).
Jakieś pomysły na jakiekolwiek możliwe przyczyny takiego zachowania?