Які порти для IPSEC / LT2P?

У мене є брандмауер / маршрутизатор (не роблять NAT).

Я гуглив і бачив суперечливі відповіді. Здається, що UDP 500 є загальним. Але інші бентежать. 1701, 4500.

А деякі кажуть, що мені також потрібно дозволити gre 50, або 47, або 50 і 51.

Гаразд, які порти є правильними для роботи IPSec / L2TP у маршрутизованому середовищі без NAT? тобто я хочу використовувати вбудований в Windows клієнт для підключення до VPN за цим маршрутизатором / брандмауером.

Можливо, хороша відповідь тут - вказати, які порти відкрити для різних ситуацій. Я думаю, що це було б корисно багатьом людям.

Ось порти та протоколи:

• Протокол: UDP, порт 500 (для IKE для управління ключами шифрування)
• Протокол: UDP, порт 4500 (для режиму IPSEC NAT-Traversal)
• Протокол: ESP, значення 50 (для IPSEC)
• Протокол: AH, значення 51 (для IPSEC)

Також порт 1701 використовується сервером L2TP, але не слід допускати з'єднання з ним ззовні. Існує спеціальне правило брандмауера, яке дозволяє тільки захищений трафік IPSEC в'їзним через цей порт.

Якщо ви використовуєте IPTABLES, а ваш L2TP-сервер сидить безпосередньо в Інтернеті, то потрібні правила:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Де $EXT_NICназва вашого зовнішнього мережевого інтерфейсу, наприклад, ppp0.

Ipsec потребує порту UDP 500 + ip протоколів 50 і 51 - але ви можете використовувати NAt-T, для чого потрібен порт UDP 4500. З іншого боку, L2TP використовує порт udp 1701. Якщо ви намагаєтеся передати ipsec трафік через "звичайний" Wi -Fi маршрутизатор, і немає такої опції, як IPSec прохід, я рекомендую відкрити порти 500 і 4500. Принаймні, так це працює на моєму. Сподіваюсь, це допомагає.