pink: ¿Es posible realizar copias de seguridad a través de Time Machine en SMB detrás de NAT en puertos no estándar?

Tengo un servidor Linux con una copia de seguridad compartida SMB expuesta. Está conectado físicamente a una LAN a través de un enrutador. El MacBook Professional conectado físicamente a la misma LAN a través del mismo enrutador puede conectarse, configurar Time Machine y hacer una copia de seguridad en este recurso compartido SMB utilizando la IP LAN del servidor Linux (por ejemplo, 192.168.XX).

El enrutador también tiene una dirección WAN. El ISP bloquea 139 y 445 conexiones entrantes en el lado WAN, por lo que conecté NAT WAN:tcp:446 al servidor Linux:tcp:445.

Otro MacBook Professional en Web quiere realizar una copia de seguridad en el mismo recurso compartido. Puede conectarse al recurso compartido como smb://person@WANIP:446 a través de Finder, luego aparece un mensaje del sistema con el usuario previamente completado, un campo para la contraseña y una casilla de verificación para guardar la contraseña en Keychain. Después de proporcionar la contraseña, se conecta correctamente al servidor Linux y expone el recurso compartido de copia de seguridad y puedo ver, leer, editar, eliminar, crear, cambiar el nombre, and many others., los archivos y directorios que contiene a través del Finder.

Luego voy a la configuración de Time Machine, elijo Disco, ve con éxito el recurso compartido conectado y me permite elegirlo, solicita el usuario y la contraseña y ambos se completan previamente. Luego programa con éxito una copia de seguridad en 120 segundos.

Cuando pasan 120 segundos o si solicito una copia de seguridad handbook en este momento, cube que la autorización falló y no puedo realizar la copia de seguridad.

Después de eso, todavía puedo hacer todo con el recurso compartido en Finder, es decir, está en pleno funcionamiento.

tmutil muestra que todo está bien.

$ tmutil destinationinfo
====================================================
Identify          : Backup
Type          : Community
URL           : smb://person@WANIP:446/Backup
Mount Level   : /Volumes/Backup
ID            : {***GUID***}

los registros muestran estos errores específicos

$ log present --style syslog  --predicate 'senderImagePath accommodates[cd] "TimeMachine"' --info
...
2020-05-14 14:46:10.150565+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Making an attempt to mount 'smb://person@WANIP:446/Backup'
2020-05-14 14:46:10.427385+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] NAConnectToServerSync failed with error: 80 (Authentication error) for url: smb://person@WANIP:446/Backup
2020-05-14 14:46:10.427395+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Authentication error (80) - the right person or password data could not exist within the System.keychain or the server could now not permit entry for this person.
2020-05-14 14:46:10.427414+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Making an attempt to mount alternate URL 'smb://person@WANIP:446/Backup'
2020-05-14 14:46:10.706242+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] NAConnectToServerSync failed with error: 80 (Authentication error) for alternate url: smb://person@WANIP:446/Backup
2020-05-14 14:46:10.706249+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Authentication error (80) - the right person or password data could not exist within the System.keychain or the server could now not permit entry for this person.
2020-05-14 14:46:10.706328+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Authentication error (80) - the right person or password data could not exist within the System.keychain or the server could now not permit entry for this person.
2020-05-14 14:46:10.706771+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Backup failed with error 29: There was an issue authenticating with the vacation spot.
2020-05-14 14:46:10.708332+0100  localhost backupd[2435]: (TimeMachine) [com.apple.TimeMachine:General] Pending cancel request cleared.

smb.conf es bastante easy

[global]
   use sendfile = sure
   retailer dos attributes = no
   server providers = smb
   mangled names = no
   dos filetimes = no
   workgroup = MYGROUP
   server string = Samba Server
   server function = standalone server
   log file = /dev/stdout
   max log measurement = 50
   dns proxy = no 
   pam password change = sure
   map to visitor = dangerous person
   usershare permit friends = sure
   create masks = 0660
   drive create mode = 0000
   listing masks = 0770
   drive listing mode = 0110
   drive person = smbuser
   drive group = smb
   observe symlinks = sure
   load printers = no
   printing = bsd
   printcap identify = /dev/null
   disable spoolss = sure
   strict locking = no
   aio learn measurement = 0
   aio write measurement = 0
   vfs objects = catia fruit streams_xattr
   consumer ipc max protocol = SMB3
   consumer ipc min protocol = SMB3_02
   consumer max protocol = SMB3
   consumer min protocol = SMB3_02
   server max protocol = SMB3
   server min protocol = SMB3_02
   fruit:delete_empty_adfiles = sure
   fruit:time machine = sure
   fruit:veto_appledouble = no
   fruit:wipe_intentionally_left_blank_rfork = sure

[Backup]
   path = /house/backup
   browsable = sure
   learn solely = no
   visitor okay = no
   veto information = /.apdisk/.DS_Store/.TemporaryItems/.Trashes/desktop.ini/ehthumbs.db/Community Trash Folder/Momentary Gadgets/Thumbs.db/
   delete veto information = sure

Si solo cambio visitor okay = no a sure sin otros cambios y me conecto a smb://visitor@WANIP:446, la copia de seguridad funciona (obviamente, el acceso de invitado rw a través de Web es una mala concept).

Si creo una VPN enrutable (L3, no L2, para que no se vean las transmisiones SMB) entre la MacBook Professional en Web y el enrutador, deje invitado okay = no y conéctese a smb://person@LANIP:445 con contraseña – copia de seguridad funciona (desafortunadamente, es mucho más lento con la VPN, por eso estoy intentando configurarlo sin ella).

Estoy perdido, no es un problema de autenticación ya que puedo conectarme y hacer todo a través de Finder a través de WANIP con el invitado okay = no. No es una cuestión de privilegios ya que puedo hacer una copia de seguridad a través de LANIP a través de VPN con el invitado okay = no. Parece que no es un problema de NAT ya que puedo hacer una copia de seguridad a través de WANIP con el invitado okay = sí.

Intenté reducir los requisitos de SMB3 a SMB2; el mismo comportamiento. Intenté eliminar todas las contraseñas de Keychain y volver a conectarme, cambiar el nombre del recurso compartido, cambiar WANIP (para que no haya configuraciones guardadas en la MacBook Professional relacionadas con este recurso compartido): el mismo comportamiento.

¿Qué extraño? ¿El acceso que no es de invitados requiere NAT en otro puerto? (No puedo NAT 137-139 porque están bloqueados por el ISP).

¡Te agradecería mucho si pudieras ayudarme! Gracias de antemano.

macOS Catalina 10.15.4 en MacBook Professional 13″ 2018. Kernel de Linux 5.1.18. Samba 4.11.5.