พอร์ตใดสำหรับ IPSEC / LT2P


13

ฉันมีไฟร์วอลล์ / เราเตอร์ (ไม่ทำ NAT)

ฉัน googled และเห็นคำตอบที่ขัดแย้งกัน ดูเหมือนว่า UDP 500 จะเป็นเรื่องธรรมดา แต่คนอื่นสับสน 1701, 4500

และบางคนบอกว่าฉันต้องอนุญาต gre 50 หรือ 47 หรือ 50 & 51 ด้วย

ตกลงพอร์ตใดที่ถูกต้องสำหรับ IPSec / L2TP เพื่อทำงานในสภาพแวดล้อมที่เราต์โดยไม่ใช้ NAT? เช่นฉันต้องการใช้ไคลเอนต์ windows ในตัวเพื่อเชื่อมต่อ VPN หลังเราเตอร์ / ไฟร์วอลล์นี้

บางทีคำตอบที่ดีที่นี่คือการระบุพอร์ตที่จะเปิดสำหรับสถานการณ์ที่แตกต่างกัน ฉันคิดว่านี่จะเป็นประโยชน์สำหรับคนจำนวนมาก


ฉันถูกใช่ไหมถ้ามัน udp 500,1701 และ gre 50
Matt

คำตอบ:


22

นี่คือพอร์ตและโปรโตคอล:

  • โปรโตคอล: UDP, พอร์ต 500 (สำหรับ IKE, เพื่อจัดการคีย์เข้ารหัส)
  • โปรโตคอล: UDP, พอร์ต 4500 (สำหรับโหมด IPSec NAT-Traversal)
  • โปรโตคอล: ESP, ค่า 50 (สำหรับ IPSEC)
  • โปรโตคอล: AH, ค่า 51 (สำหรับ IPSEC)

นอกจากนี้ยังใช้พอร์ต 1701 โดยเซิร์ฟเวอร์ L2TP แต่การเชื่อมต่อไม่ควรได้รับอนุญาตให้เชื่อมต่อขาเข้าจากภายนอก มีกฎไฟร์วอลล์พิเศษเพื่ออนุญาตเฉพาะ IPSEC ที่ปลอดภัยทราฟฟิกขาเข้าบนพอร์ตนี้

หากใช้ IPTABLES และเซิร์ฟเวอร์ L2TP ของคุณตั้งอยู่บนอินเทอร์เน็ตโดยตรงกฎที่คุณต้องการคือ:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NICชื่อการ์ดเครือข่ายภายนอกของคุณอยู่ที่ไหนเช่น ppp0


1
ฉันพบว่าฉันไม่ต้องการ ESP & AH เนื่องจากฉันไม่ได้ใช้ IPSEC โดยตรง แต่ IPSEC ผ่าน L2TP กับ NAT ดังนั้นฉันสามารถหนีไปได้ด้วยพอร์ต 500,4500,1701 ความคิดเห็นที่น่าสนใจเกี่ยวกับกฎพิเศษสำหรับปี 1701 ฉันจะต้องลองทันทีที่ฉันรู้วิธีกำหนดค่าด้วย Mikrotik
Matt

4

Ipsec ต้องการพอร์ต UDP 500 + ip โปรโตคอล 50 และ 51 - แต่คุณสามารถใช้ NAt-T แทนได้ซึ่งต้องใช้พอร์ต UDP 4500 ในทางกลับกัน L2TP ใช้พอร์ต udp 1701 หากคุณพยายามที่จะส่งข้อมูล IPSec ผ่าน "ปกติ" Wi -Fi router และไม่มีตัวเลือกเช่น IPSec pass-through ฉันขอแนะนำให้เปิดพอร์ต 500 และ 4500 อย่างน้อยนั่นก็เป็นวิธีการทำงานบนของฉัน หวังว่านี่จะช่วยได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.