Какие порты для IPSEC / LT2P?

У меня есть брандмауэр / маршрутизатор (не делает NAT).

Я гуглил и видел противоречивые ответы. Кажется, UDP 500 является распространенным. Но другие сбивают с толку. 1701, 4500.

И некоторые говорят, что мне нужно также разрешить gre 50, или 47, или 50 & 51.

Хорошо, какие порты являются правильными для IPSec / L2TP для работы в маршрутизируемой среде без NAT? т.е. я хочу использовать встроенный клиент Windows для подключения к VPN за этим маршрутизатором / брандмауэром.

Возможно, хороший ответ здесь - указать, какие порты открывать для разных ситуаций. Я думаю, что это было бы полезно для многих людей.

Вот порты и протоколы:

• Протокол: UDP, порт 500 (для IKE, для управления ключами шифрования)
• Протокол: UDP, порт 4500 (для режима IPSEC NAT-Traversal)
• Протокол: ESP, значение 50 (для IPSEC)
• Протокол: AH, значение 51 (для IPSEC)

Кроме того, порт 1701 используется сервером L2TP, но соединения не должны разрешать входящие к нему извне. Существует специальное правило брандмауэра, разрешающее входящий трафик только через IPSEC на этот порт.

Если вы используете IPTABLES, а ваш L2TP-сервер находится прямо в Интернете, то вам нужны следующие правила:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Где $EXT_NICнаходится имя вашей внешней сетевой карты, например, ppp0.

Ipsec нужен UDP-порт 500 + протокол ip 50 и 51 - но вместо этого вы можете использовать NAt-T, для которого нужен UDP-порт 4500. С другой стороны, L2TP использует порт 1701 udp. Если вы пытаетесь пропустить трафик ipsec через «обычный» Wi-Fi -Fi роутер, и нет такой опции, как сквозной IPSec, я рекомендую открыть порты 500 и 4500. По крайней мере, так работает на моем. Надеюсь это поможет.