今天我有以下设置:
- 我所有的服务器都位于互联网上,它们受到 Windows 防火墙和高级安全的保护,使用带有证书的 IPSec。它包括域控制器。
- 所有客户端计算机都有一个 GPO 和相应的证书以使用服务器。
总而言之,它几乎是完美的,还有一点不可行,一些互联网服务提供商会阻止一些通信端口(例如 135),这会在客户端通过它们连接时造成麻烦。
我不想依赖 VPN 设置,因为我所有的服务器都有互联网 IP,那我为什么要这么做?
看起来 IPSec 隧道可能是可行的方法。根据我的理解(我很难找到关于此的文档,MSDN 上的事件)我可以设置一个隧道,客户端充当网关,并在专用服务器中设置远程网关。
编辑
真正的问题是:隧道通信是否会被封装到一个给定的 UDP/TCP 端口,而不是直接转发每个请求?
例如,如果客户端试图联系我的一个域控制器的端口 135,它会通过互联网线路中的端口 135 传输还是隧道传输到一个唯一/预定义的端口(例如 443),这样更有可能被打开。客户端尝试联系的任何其他端口也是如此,所有端口都封装在 443 中。
我希望这样更清楚,老实说,我已经是第一次了!:)
谢谢
既然你修改了你的问题,那么是的。
这真的取决于,
如果客户端通过其 LAN 上某处的 NAT 设备建立 VPN 隧道,然后通过 NAT-T 到达外部,则 IPSec 将通过 NAT-T 完成,其中所有 IPSec 流量都使用端口 4500 封装在 UDP 数据报中。所以是的,所有通过隧道的通信都将超过 4500 个 UDP 端口。
IPsec over TCP 与远程访问客户端一起工作。它只是安全设备功能的客户端。它不适用于 LAN 到 LAN 连接。默认使用 TCP 10000 端口。您也可以配置并将其更改为非标准的东西(显然不是 80 或 443)。因此,所有 IPSec 流量都将通过该 10000 端口。
L2TP/IPSec 流量看起来就像线路上的 IPSec 流量。防火墙只需要允许 IKE (UDP 500)
可能需要允许 Kerberos 流量通过防火墙,如果是这样,则还需要转发 UDP 端口 88 和 TCP 端口 88。
希望这可以帮助。原来的问题真的不清楚。