it-swarm.com.de

Welche Ports für IPSEC / LT2P?

Ich habe eine Firewall/einen Router (kein NAT).

Ich habe gegoogelt und widersprüchliche Antworten gesehen. Es scheint, dass UDP 500 die übliche ist. Aber die anderen sind verwirrend. 1701, 4500.

Und einige sagen, ich muss auch gre 50 oder 47 oder 50 & 51 zulassen.

Ok, welche Ports sind die richtigen, damit IPSec/L2TP in einer gerouteten Umgebung ohne NAT funktioniert? d.h. ich möchte den eingebauten Windows-Client verwenden, um eine Verbindung zu einem VPN hinter diesem Router/dieser Firewall herzustellen.

Vielleicht ist eine gute Antwort hier anzugeben, welche Ports für verschiedene Situationen geöffnet werden sollen. Ich denke, das wäre für viele Menschen nützlich.

13
Matt

Hier sind die Ports und Protokolle:

  • Protokoll: UDP, Port 500 (für IKE zur Verwaltung von Verschlüsselungsschlüsseln)
  • Protokoll: UDP, Port 4500 (für IPSEC NAT-Traversal-Modus)
  • Protokoll: ESP, Wert 50 (für IPSEC)
  • Protokoll: AH, Wert 51 (für IPSEC)

Außerdem wird Port 1701 vom L2TP-Server verwendet, es sollten jedoch keine Verbindungen von außen zu Port 1701 zugelassen werden. Es gibt eine spezielle Firewall-Regel, nach der nur IPSEC-gesicherter Datenverkehr an diesem Port eingeht.

Wenn Sie IPTABLES verwenden und Ihr L2TP-Server direkt im Internet sitzt, müssen Sie folgende Regeln beachten:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Wo $EXT_NIC ist der Name Ihrer externen Netzwerkschnittstellenkarte, z. ppp0.

22
David Lomax

Ipsec benötigt UDP-Port 500 + IP-Protokoll 50 und 51 - Sie können jedoch stattdessen NAt-T verwenden, das UDP-Port 4500 benötigt. Andererseits verwendet L2TP den udp-Port 1701. Wenn Sie versuchen, IPSec-Verkehr über ein "normales" Wi weiterzuleiten -Fi Router und es gibt keine Option wie IPSec Pass-Through, ich empfehle Port 500 und 4500 zu öffnen. Zumindest funktioniert das so auf meinem. Hoffe das hilft.

4
chickenloop