Início / server / Perguntas / 451381
Accepted
hookenz
Asked: 2012-11-23 14:56:01 +0800 CST

Quais portas para IPSEC/LT2P?

  • 772

Eu tenho um firewall/roteador (não estou fazendo NAT).

Eu pesquisei e vi respostas conflitantes. Parece que o UDP 500 é o comum. Mas os outros são confusos. 1701, 4500.

E alguns dizem que eu também preciso permitir gre 50, ou 47, ou 50 e 51.

Ok, quais portas são as corretas para o IPSec/L2TP funcionar em um ambiente roteado sem NAT? ou seja, eu quero usar o cliente Windows embutido para conectar a uma VPN por trás deste roteador/firewall.

Talvez uma boa resposta aqui seja especificar quais portas abrir para diferentes situações. Acho que isso seria útil para muitas pessoas.

linux

3 respostas

  1. Best Answer

    Aqui estão as portas e protocolos:

    • Protocolo: UDP, porta 500 (para IKE, para gerenciar chaves de criptografia)
    • Protocolo: UDP, porta 4500 (para modo IPSEC NAT-Traversal)
    • Protocolo: ESP, valor 50 (para IPSEC)
    • Protocolo: AH, valor 51 (para IPSEC)

    Além disso, a porta 1701 é usada pelo servidor L2TP, mas não deve ser permitida a entrada de conexões externas. Existe uma regra de firewall especial para permitir apenas a entrada de tráfego protegido por IPSEC nesta porta.

    Se estiver usando IPTABLES e seu servidor L2TP estiver diretamente na Internet, as regras necessárias são:

    iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

    Onde $EXT_NICestá o nome da sua placa de interface de rede externa, por exemplo, ppp0.

    • 34

  2. O Ipsec precisa da porta UDP 500 + protocolo ip 50 e 51 - mas você pode usar o NAt-T, que precisa da porta UDP 4500. Por outro lado, o L2TP usa a porta udp 1701. -Roteador Fi e não existe a opção de passagem IPSec, recomendo abrir as portas 500 e 4500. Pelo menos é assim que funciona no meu. Espero que isto ajude.

    • 6

  3. OK.

    Na verdade - Depende.

    Eu tenho o servidor Ubuntu L2TP\IPSEC atrás do NAT.

    se o seu servidor L2TP\ipsec fica atrás do NAT , neste caso no seu gateway (com NAT) você precisa fazer o encaminhamento de porta para as seguintes portas e protocolos:

    500 UDP
4500 UDP
1701 UDP

    o ponto neste caso - não há necessidade de encaminhar ESP ou AH.

    Além disso, quando o servidor fica atrás do NAT, os clientes do sistema operacional Windows por padrão NÃO podem se conectar a esse servidor, você precisa adicionar ao registro

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
AssumeUDPEncapsulationContextOnSendRule = 2 (type dword32)

    Se o servidor estiver diretamente na internet

    UDP 500
UDP 4500

    só precisa ser aberto na interface WAN. é isso.

    Os clientes do sistema operacional Windows não precisam fazer nenhuma edição de registro neste caso.

    a informação é verificada pela prática.

    ===

    atualização (23.04.2021):

    se você usar ipsec para vpn dinâmica, não será necessário ativar os protocolos ESP\AH no firewall.

    No entanto, se você usar ipsec para túneis site-to-site (entre dois roteadores com endereços IP da Internet) ---> você também precisará habilitar no firewall

    ESP protocol
AH  protocol
    • 1

relate perguntas