IPSEC / LT2Pのどのポートですか?

13

ファイアウォール/ルーターがあります(NATを実行していません)。

私はグーグルで調べて、矛盾する答えを見ました。UDP 500が一般的なもののようです。しかし、他の人は混乱しています。1701、4500。

また、gre 50、47、または50&51も許可する必要があると言う人もいます。

OK、IPSec / L2TPがNATなしのルーテッド環境で動作するための正しいポートはどれですか?つまり、組み込みのWindowsクライアントを使用して、このルーター/ファイアウォールの背後にあるVPNに接続したいのです。

おそらくここでの良い答えは、さまざまな状況でどのポートを開くかを指定することです。これは多くの人に役立つと思います。

linux  iptables  firewall  ipsec  l2tp 
マット
ソース
udp 500,1701とgre 50であれば正しいですか?
マット

回答:

22

ポートとプロトコルは次のとおりです。

  • プロトコル:UDP、ポート500(IKEの場合、暗号化キーを管理するため)
  • プロトコル:UDP、ポート4500(IPSEC NAT-Traversalモード用)
  • プロトコル:ESP、値50(IPSECの場合)
  • プロトコル:AH、値51(IPSECの場合)

また、ポート1701はL2TPサーバーによって使用されますが、外部からの着信を許可しないでください。このポートに着信するIPSECで保護されたトラフィックのみを許可する特別なファイアウォールルールがあります。

IPTABLESを使用し、L2TPサーバーがインターネット上に直接配置されている場合、必要なルールは次のとおりです。

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NIC外部ネットワークインターフェイスカード名、たとえばppp0はどこにありますか。

デビッド・ロマックス
ソース
1
IPSECを直接使用するのではなく、NATを使用したL2TP上のIPSECを使用しているため、ESPとAHは必要ありません。したがって、ポート500,4500,1701で逃げることができます。1701の特別ルールに関する興味深いコメントです。Mikrotikで設定する方法を見つけたら、すぐにそれを試す必要があります。
マット14
4

IPsecはUDPポート500 + IPプロトコル50および51を必要とします-しかし、代わりにUDPポート4500を必要とするNAt-Tを使用できます。一方、L2TPはudpポート1701を使用します。 -Fiルーターで、IPSecパススルーなどのオプションはありません。ポート500と4500を開くことをお勧めします。少なくとも、それは私の場合の動作です。お役に立てれば。

チキンループ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.