Які порти для IPSEC / LT2P?


13

У мене є брандмауер / маршрутизатор (не роблять NAT).

Я гуглив і бачив суперечливі відповіді. Здається, що UDP 500 є загальним. Але інші бентежать. 1701, 4500.

А деякі кажуть, що мені також потрібно дозволити gre 50, або 47, або 50 і 51.

Гаразд, які порти є правильними для роботи IPSec / L2TP у маршрутизованому середовищі без NAT? тобто я хочу використовувати вбудований в Windows клієнт для підключення до VPN за цим маршрутизатором / брандмауером.

Можливо, хороша відповідь тут - вказати, які порти відкрити для різних ситуацій. Я думаю, що це було б корисно багатьом людям.


Я маю рацію, якщо це udp 500,1701 і gre 50?
Метт

Відповіді:


22

Ось порти та протоколи:

  • Протокол: UDP, порт 500 (для IKE для управління ключами шифрування)
  • Протокол: UDP, порт 4500 (для режиму IPSEC NAT-Traversal)
  • Протокол: ESP, значення 50 (для IPSEC)
  • Протокол: AH, значення 51 (для IPSEC)

Також порт 1701 використовується сервером L2TP, але не слід допускати з'єднання з ним ззовні. Існує спеціальне правило брандмауера, яке дозволяє тільки захищений трафік IPSEC в'їзним через цей порт.

Якщо ви використовуєте IPTABLES, а ваш L2TP-сервер сидить безпосередньо в Інтернеті, то потрібні правила:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Де $EXT_NICназва вашого зовнішнього мережевого інтерфейсу, наприклад, ppp0.


1
Я виявив, що мені не потрібні ESP і AH, оскільки я не використовую IPSEC безпосередньо, але IPSEC через L2TP з NAT. Тож я маю змогу піти з портами 500,4500,1701. Цікавий коментар щодо спеціального правила для 1701 року. Мені доведеться спробувати це, як тільки я зрозумію, як налаштувати його за допомогою Mikrotik.
Метт

4

Ipsec потребує порту UDP 500 + ip протоколів 50 і 51 - але ви можете використовувати NAt-T, для чого потрібен порт UDP 4500. З іншого боку, L2TP використовує порт udp 1701. Якщо ви намагаєтеся передати ipsec трафік через "звичайний" Wi -Fi маршрутизатор, і немає такої опції, як IPSec прохід, я рекомендую відкрити порти 500 і 4500. Принаймні, так це працює на моєму. Сподіваюсь, це допомагає.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.