Quali porte per IPSEC / LT2P?


13

Ho un firewall / router (non sto facendo NAT).

Ho cercato su Google e ho visto risposte contrastanti. Sembra che UDP 500 sia quello comune. Ma gli altri sono confusi. 1701, 4500.

E alcuni dicono che devo consentire anche gre 50, o 47, o 50 e 51.

Ok, quali porte sono quelle corrette per far funzionare IPSec / L2TP in un ambiente con routing senza NAT? cioè voglio usare il client Windows incorporato per connettermi a una VPN dietro questo router / firewall.

Forse una buona risposta qui è quella di specificare quali porte aprire per diverse situazioni. Penso che questo sarebbe utile per molte persone.


Ho ragione se è udp 500,1701 e gre 50?
Matt,

Risposte:


22

Ecco le porte e i protocolli:

  • Protocollo: UDP, porta 500 (per IKE, per gestire le chiavi di crittografia)
  • Protocollo: UDP, porta 4500 (per modalità NAT-Traversal IPSEC)
  • Protocollo: ESP, valore 50 (per IPSEC)
  • Protocollo: AH, valore 51 (per IPSEC)

Inoltre, la porta 1701 è utilizzata dal server L2TP, ma le connessioni non dovrebbero essere consentite in entrata ad esso dall'esterno. Esiste una regola firewall speciale per consentire solo il traffico protetto IPSEC in entrata su questa porta.

Se si utilizza IPTABLES e il server L2TP si trova direttamente su Internet, le regole necessarie sono:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Dov'è $EXT_NICil nome della tua scheda di interfaccia di rete esterna, ad esempio ppp0.


1
Ho scoperto che non ho bisogno di ESP e AH poiché non sto usando IPSEC direttamente ma IPSEC su L2TP con NAT. Quindi sono in grado di cavarmela con le porte 500,4500,1701. Interessante commento sulla regola speciale per il 1701. Dovrò provarlo non appena avrò capito come configurarlo con Mikrotik.
Matt,

4

Ipsec richiede la porta UDP 500 + protocollo IP 50 e 51 - ma è possibile utilizzare NAt-T, che richiede la porta UDP 4500. D'altra parte L2TP utilizza la porta udp 1701. Se si tenta di passare il traffico ipsec attraverso un Wi "normale" -Fi router e non esiste un'opzione come IPSec pass-through, ti consiglio di aprire le porte 500 e 4500. Almeno è così che funziona sul mio. Spero che sia di aiuto.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.