Port mana untuk IPSEC / LT2P?

13

Saya memiliki firewall / router (tidak melakukan NAT).

Saya telah mencari di Google dan melihat jawaban yang bertentangan. Tampaknya UDP 500 adalah yang umum. Tetapi yang lain membingungkan. 1701, 4500.

Dan beberapa orang mengatakan saya harus mengizinkan gre 50, atau 47, atau 50 & 51.

Ok, port mana yang benar untuk IPSec / L2TP untuk bekerja di lingkungan yang diarahkan tanpa NAT? yaitu saya ingin menggunakan klien windows bawaan untuk terhubung ke VPN di belakang router / firewall ini.

Mungkin jawaban yang baik di sini adalah untuk menentukan port mana yang akan dibuka untuk situasi yang berbeda. Saya pikir ini akan bermanfaat bagi banyak orang.

linux iptables firewall ipsec l2tp Mat
sumber
Apakah saya benar jika udp 500.1701 dan gre 50?
Matt

Jawaban:

22

Berikut adalah port dan protokolnya:

  • Protokol: UDP, port 500 (untuk IKE, untuk mengelola kunci enkripsi)
  • Protokol: UDP, port 4500 (untuk mode IPSEC NAT-Traversal)
  • Protokol: ESP, nilai 50 (untuk IPSEC)
  • Protokol: AH, nilai 51 (untuk IPSEC)

Juga, Port 1701 digunakan oleh Server L2TP, tetapi koneksi tidak boleh diizinkan masuk dari luar. Ada aturan firewall khusus untuk hanya mengizinkan lalu lintas aman IPSEC masuk di port ini.

Jika menggunakan IPTABLES, dan server L2TP Anda duduk langsung di internet, maka aturan yang Anda butuhkan adalah:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Di mana $EXT_NICnama kartu antarmuka jaringan eksternal Anda, mis. Ppp0.

David Lomax
sumber
1
Saya menemukan saya tidak perlu ESP & AH karena saya tidak menggunakan IPSEC secara langsung tetapi IPSEC lebih dari L2TP dengan NAT. Jadi saya bisa pergi dengan port 500.4500.1701. Komentar menarik tentang aturan khusus untuk 1701. Saya harus mencobanya segera setelah saya mengetahui cara mengkonfigurasinya dengan Mikrotik.
Matt
4

Ipsec membutuhkan port UDP 500 + protokol ip 50 dan 51 - tetapi Anda dapat menggunakan NAt-T sebagai gantinya, yang membutuhkan port UDP 4500. Di sisi lain L2TP menggunakan port udp 1701. Jika Anda mencoba untuk melewatkan lalu lintas ipsec melalui "reguler" Wi Router -Fi dan tidak ada opsi seperti IPSec pass-through, saya sarankan membuka port 500 dan 4500. Setidaknya itulah cara kerjanya di tambang. Semoga ini membantu.

chickenloop
sumber