Welche Ports für IPSEC / LT2P?

13

Ich habe eine Firewall / einen Router (macht kein NAT).

Ich habe gegoogelt und widersprüchliche Antworten gesehen. Es scheint, dass UDP 500 die häufigste ist. Aber die anderen sind verwirrend. 1701, 4500.

Und manche sagen, ich muss auch gre 50 oder 47 oder 50 & 51 zulassen.

Ok, welche Ports sind die richtigen, damit IPSec / L2TP in einer gerouteten Umgebung ohne NAT funktioniert? dh ich möchte den eingebauten Windows-Client verwenden, um eine Verbindung zu einem VPN hinter diesem Router / Firewall herzustellen.

Vielleicht ist es eine gute Antwort, hier anzugeben, welche Ports für verschiedene Situationen geöffnet werden sollen. Ich denke, das wäre für viele Menschen nützlich.

linux iptables firewall ipsec l2tp Matt
quelle
Habe ich recht, wenn es udp 500,1701 und gre 50 ist?
Matt

Antworten:

22

Hier sind die Ports und Protokolle:

  • Protokoll: UDP, Port 500 (für IKE zur Verwaltung von Verschlüsselungsschlüsseln)
  • Protokoll: UDP, Port 4500 (für IPSEC NAT-Traversal-Modus)
  • Protokoll: ESP, Wert 50 (für IPSEC)
  • Protokoll: AH, Wert 51 (für IPSEC)

Außerdem wird Port 1701 vom L2TP-Server verwendet, es sollten jedoch keine Verbindungen von außen zu ihm zugelassen werden. Es gibt eine spezielle Firewall-Regel, die nur IPSEC-gesicherten eingehenden Datenverkehr an diesem Port zulässt.

Wenn Sie IPTABLES verwenden und sich Ihr L2TP-Server direkt im Internet befindet, müssen Sie folgende Regeln beachten:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Wo $EXT_NICist der Name Ihrer externen Netzwerkkarte, z. B. ppp0?

David Lomax
quelle
1
Ich habe festgestellt, dass ich ESP & AH nicht benötige, da ich IPSEC nicht direkt verwende, sondern IPSEC über L2TP mit NAT. Ich komme also mit den Ports 500, 4500, 1701 durch. Interessanter Kommentar zur Sonderregel für 1701. Ich muss das versuchen, sobald ich herausgefunden habe, wie ich es mit Mikrotik konfigurieren kann.
Matt
4

IPSec benötigt UDP-Port 500 + IP-Protokoll 50 und 51 - aber Sie können stattdessen NAt-T verwenden, das UDP-Port 4500 benötigt. Andererseits verwendet L2TP den UDP-Port 1701. Wenn Sie versuchen, IPSec-Verkehr über ein "normales" Wi zu leiten -Fi-Router und es gibt keine IPSec-Pass-Through-Option. Ich empfehle, die Ports 500 und 4500 zu öffnen. Zumindest funktioniert das bei mir so. Hoffe das hilft.

Chickenloop
quelle