พอร์ตใดสำหรับ IPSEC / LT2P

ฉันมีไฟร์วอลล์ / เราเตอร์ (ไม่ทำ NAT)

ฉัน googled และเห็นคำตอบที่ขัดแย้งกัน ดูเหมือนว่า UDP 500 จะเป็นเรื่องธรรมดา แต่คนอื่นสับสน 1701, 4500

และบางคนบอกว่าฉันต้องอนุญาต gre 50 หรือ 47 หรือ 50 & 51 ด้วย

ตกลงพอร์ตใดที่ถูกต้องสำหรับ IPSec / L2TP เพื่อทำงานในสภาพแวดล้อมที่เราต์โดยไม่ใช้ NAT? เช่นฉันต้องการใช้ไคลเอนต์ windows ในตัวเพื่อเชื่อมต่อ VPN หลังเราเตอร์ / ไฟร์วอลล์นี้

บางทีคำตอบที่ดีที่นี่คือการระบุพอร์ตที่จะเปิดสำหรับสถานการณ์ที่แตกต่างกัน ฉันคิดว่านี่จะเป็นประโยชน์สำหรับคนจำนวนมาก

นี่คือพอร์ตและโปรโตคอล:

• โปรโตคอล: UDP, พอร์ต 500 (สำหรับ IKE, เพื่อจัดการคีย์เข้ารหัส)
• โปรโตคอล: UDP, พอร์ต 4500 (สำหรับโหมด IPSec NAT-Traversal)
• โปรโตคอล: ESP, ค่า 50 (สำหรับ IPSEC)
• โปรโตคอล: AH, ค่า 51 (สำหรับ IPSEC)

นอกจากนี้ยังใช้พอร์ต 1701 โดยเซิร์ฟเวอร์ L2TP แต่การเชื่อมต่อไม่ควรได้รับอนุญาตให้เชื่อมต่อขาเข้าจากภายนอก มีกฎไฟร์วอลล์พิเศษเพื่ออนุญาตเฉพาะ IPSEC ที่ปลอดภัยทราฟฟิกขาเข้าบนพอร์ตนี้

หากใช้ IPTABLES และเซิร์ฟเวอร์ L2TP ของคุณตั้งอยู่บนอินเทอร์เน็ตโดยตรงกฎที่คุณต้องการคือ:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NICชื่อการ์ดเครือข่ายภายนอกของคุณอยู่ที่ไหนเช่น ppp0

Ipsec ต้องการพอร์ต UDP 500 + ip โปรโตคอล 50 และ 51 - แต่คุณสามารถใช้ NAt-T แทนได้ซึ่งต้องใช้พอร์ต UDP 4500 ในทางกลับกัน L2TP ใช้พอร์ต udp 1701 หากคุณพยายามที่จะส่งข้อมูล IPSec ผ่าน "ปกติ" Wi -Fi router และไม่มีตัวเลือกเช่น IPSec pass-through ฉันขอแนะนำให้เปิดพอร์ต 500 และ 4500 อย่างน้อยนั่นก็เป็นวิธีการทำงานบนของฉัน หวังว่านี่จะช่วยได้