Những cổng nào cho IPSEC / LT2P?


13

Tôi có một tường lửa / bộ định tuyến (không làm NAT).

Tôi đã googled và thấy câu trả lời mâu thuẫn. Có vẻ như UDP 500 là phổ biến. Nhưng những người khác đang bối rối. 1701, 4500.

Và một số người nói tôi cũng cần cho phép gre 50, hoặc 47 hoặc 50 & 51.

Ok, cổng nào là cổng chính xác để IPSec / L2TP hoạt động trong môi trường định tuyến không có NAT? tức là tôi muốn sử dụng máy khách windows tích hợp để kết nối với VPN phía sau bộ định tuyến / tường lửa này.

Có lẽ một câu trả lời tốt ở đây là chỉ định cổng nào sẽ mở cho các tình huống khác nhau. Tôi nghĩ rằng điều này sẽ hữu ích cho nhiều người.


Tôi có đúng không nếu đó là 500,1701 và 50?
Matt

Câu trả lời:


22

Dưới đây là các cổng và giao thức:

  • Giao thức: UDP, cổng 500 (đối với IKE, để quản lý khóa mã hóa)
  • Giao thức: UDP, cổng 4500 (cho chế độ IPSEC NAT-Traversal)
  • Giao thức: ESP, giá trị 50 (đối với IPSEC)
  • Giao thức: AH, giá trị 51 (đối với IPSEC)

Ngoài ra, Cổng 1701 được Máy chủ L2TP sử dụng, nhưng các kết nối không được phép gửi vào bên ngoài. Có một quy tắc tường lửa đặc biệt để chỉ cho phép lưu lượng truy cập được bảo mật IPSEC vào cổng này.

Nếu sử dụng IPTABLES và máy chủ L2TP của bạn nằm trực tiếp trên internet, thì các quy tắc bạn cần là:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NICTên thẻ giao diện mạng bên ngoài của bạn ở đâu , ví dụ ppp0.


1
Tôi thấy tôi không cần ESP & AH vì tôi không sử dụng IPSEC trực tiếp mà là IPSEC qua L2TP với NAT. Vì vậy, tôi có thể thoát khỏi các cổng 500,4500,1701. Nhận xét thú vị về quy tắc đặc biệt cho năm 1701. Tôi sẽ phải thử điều đó ngay khi tôi tìm ra cách định cấu hình nó với Mikrotik.
Matt

4

Ipsec cần cổng UDP 500 + giao thức ip 50 và 51 - nhưng thay vào đó bạn có thể sử dụng NAt-T, cần cổng UDP 4500. Mặt khác, L2TP sử dụng cổng udp 1701. Nếu bạn cố gắng truyền lưu lượng ipsec qua Wi "thông thường" -Fi router và không có tùy chọn nào như truyền qua IPSec, tôi khuyên bạn nên mở cổng 500 và 4500. Ít nhất đó là cách nó hoạt động trên máy của tôi. Hi vọng điêu nay co ich.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.