Które porty dla IPSEC / LT2P?

13

Mam zaporę / router (nie wykonuję translacji NAT).

Znalazłem google i zobaczyłem sprzeczne odpowiedzi. Wygląda na to, że UDP 500 jest powszechny. Ale inni są mylący. 1701, 4500.

I niektórzy twierdzą, że muszę również zezwolić na gre 50, 47, 50 lub 51.

Ok, które porty są poprawne dla IPSec / L2TP do pracy w środowisku routowanym bez NAT? tzn. chcę użyć wbudowanego klienta Windows do połączenia z VPN za tym routerem / zaporą.

Być może dobrą odpowiedzią jest tutaj określenie portów, które należy otworzyć w różnych sytuacjach. Myślę, że byłoby to przydatne dla wielu osób.

Matt
źródło
Czy mam rację, jeśli to udp 500,1701 i gre 50?
Matt

Odpowiedzi:

22

Oto porty i protokoły:

  • Protokół: UDP, port 500 (dla IKE, do zarządzania kluczami szyfrowania)
  • Protokół: UDP, port 4500 (dla trybu IPSEC NAT-Traversal)
  • Protokół: ESP, wartość 50 (dla IPSEC)
  • Protokół: AH, wartość 51 (dla IPSEC)

Ponadto port 1701 jest używany przez serwer L2TP, ale połączenia nie powinny być do niego przychodzące z zewnątrz. Istnieje specjalna reguła zapory, która zezwala tylko na ruch przychodzący zabezpieczony przez IPSEC na tym porcie.

Jeśli używasz IPTABLES, a Twój serwer L2TP znajduje się bezpośrednio w Internecie, potrzebne są następujące reguły:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Gdzie $EXT_NICjest nazwa karty zewnętrznego interfejsu sieciowego, np. Ppp0.

David Lomax
źródło
1
Odkryłem, że nie potrzebuję ESP i AH, ponieważ nie używam bezpośrednio IPSEC, ale IPSEC przez L2TP z NAT. Więc jestem w stanie uciec z portami 500,4500,1701. Ciekawy komentarz na temat specjalnej reguły dla 1701. Będę musiał spróbować, jak tylko wymyślę, jak ją skonfigurować za pomocą Mikrotika.
Matt
4

Ipsec potrzebuje portu UDP 500 + protokół IP 50 i 51 - ale zamiast tego możesz użyć NAt-T, który wymaga portu UDP 4500. Z drugiej strony L2TP używa portu udp 1701. Jeśli próbujesz przekazać ruch IPsec przez „zwykły” Wi Router -Fi i nie ma takiej opcji jak tranzyt IPSec, zalecam otwarcie portów 500 i 4500. Przynajmniej tak to działa na moim. Mam nadzieję że to pomoże.

kurczak
źródło