Se vi collegate da remoto con una vpn ad una rete aziendale complessa usando un Apple Mac potreste trovarvi nella spiacevole condizione di non poter accedere ad alcuni servers aziendali nonostante il collegamento con la vpn sia attivo e funzionante.
E’ dovuto ad un particolare comportamento del sistema operativo MAC OS che invece di instradare tutto il traffico sulla vpn quando questa è attiva usa anche un concetto di priorità della connessione, vediamo su quali parametri agire per risolvere il problema.
Nel nostro caso l’utente si collegava da casa in smart-working con un proprio router privato con indirizzi 192.168.0.x ed aveva accesso con una vpn L2TP/IPSEC alla rete aziendale che aveva come indirizzi della Lan 172.16.x.x , fin qui tutto ok, l’utente accedeva ai servers sulla Lan 172.16.x.x e a tutte le risorse di rete.
Ma la rete dell’azienda essendo molto complessa e multi-site aveva anche delle altre reti connesse via routers mpls nel range 10.x.x.x , i servers presenti in queste altre reti NON risultavano accessibili dal Mac nonostante fosse collegato correttamente in vpn e tutti gli instradamenti della Lan aziendale e dei routers fossero corretti !
Il primo tentativo è stato quello di forzare il flag
[X] INVIA TUTTO IL TRAFFICO IN CONNESSIONE VPN
(come da immagine) il flag si trova in :
Preferenza di sistema -> Rete -> VPN -> Avanzate -> Opzioni
ma nonostante questa impostazione il traffico verso le reti 10.x.x.x continuava a non essere instradato dal Mac, è stato necessario modificare la priorità della connessione VPN rispetto alle altre tipologie di rete, si fa da :
Preferenze di sistema -> Rete
quindi va selezionata la piccola rotella dentata (o il menù con i 3 punti a seconda della versione di Mac OS) che si trova sotto l’elenco delle connessioni di rete e dal menù che appare va scelta la voce :
IMPOSTA ORDINE SERVIZO
come da immagine seguente :
si aprirà una piccola finestra popup che riporta tutte le connessioni di rete definite sul Mac (come da immagine) in cui potete vedere come la connessione VPN essendo stata creata dopo si trovi nell’ultima posizione (le altre connessioni sono quelle di default del sistema) :
ora basta selezionare la nostra connessione VPN e trascinarla col mouse nella prima posizione (o comunque prima della connessione che usiamo per il collegamento ad internet, nel nostro caso specifico la connessione Ethernet via cavo), quindi confermare con il bottone OK :
Fatta questa modifica e chiuso il pannello delle preferenze non è stato nemmeno necessario riavviare il Mac, tutto il traffico è stato immediatamente instradato correttamente sulla connessione VPN e quindi anche i servers nelle sottoreti aziendali 10.x.x.x sono diventati raggiungibili senza problemi.
La realtà comunque sembra smentire questo documento tecnico ufficiale di Apple secondo cui le VPN hanno sempre la priorità sulle altre connessioni di rete :
https://support.apple.com/it-it/guide/mac-help/mchlp2711/10.15/mac/10.15
Mah… è un comportamento un pò particolare di MAC OS anche se una volta capito ha una sua logica, visto che comunque non è immediato meglio segnarselo !
: – )
