IPSEC / LT2P 용 포트는 무엇입니까?


13

방화벽 / 라우터가 있습니다 (NAT를 수행하지 않음).

나는 구글과 충돌 답변을 보았다. UDP 500이 일반적인 것으로 보입니다. 그러나 다른 사람들은 혼란 스럽습니다. 1701, 4500.

그리고 일부는 gre 50, 47 또는 50 & 51도 허용해야한다고 말합니다.

IPSec / L2TP가 NAT가없는 라우팅 된 환경에서 작동하기에 적합한 포트는 무엇입니까? 즉, 내장 된 Windows 클라이언트를 사용하여이 라우터 / 방화벽 뒤의 VPN에 연결하려고합니다.

여기에 좋은 대답은 다른 상황에서 열 포트를 지정하는 것입니다. 나는 이것이 많은 사람들에게 유용 할 것이라고 생각합니다.


udp 500,1701 및 gre 50이라면 맞습니까?
Matt

답변:


22

포트 및 프로토콜은 다음과 같습니다.

  • 프로토콜 : UDP, 포트 500 (IKE의 경우 암호화 키 관리)
  • 프로토콜 : UDP, 포트 4500 (IPSEC NAT 통과 모드 용)
  • 프로토콜 : ESP, 값 50 (IPSEC의 경우)
  • 프로토콜 : AH, 값 51 (IPSEC의 경우)

또한 포트 1701은 L2TP 서버에서 사용되지만 연결을 외부에서 인바운드로 허용해서는 안됩니다. 이 포트에는 IPSEC 보안 트래픽 인바운드 만 허용하는 특별한 방화벽 규칙이 있습니다.

IPTABLES를 사용하고 L2TP 서버가 인터넷에 직접있는 경우 필요한 규칙은 다음과 같습니다.

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NICppp0과 같은 외부 네트워크 인터페이스 카드 이름은 어디에 있습니까 ?


1
IPSEC를 직접 사용하지 않고 NAT가있는 L2TP를 통한 IPSEC를 사용하므로 ESP 및 AH가 필요하지 않습니다. 따라서 포트 500,4500,1701을 사용할 수 있습니다. 1701의 특별 규칙에 대한 흥미로운 의견입니다. Mikrotik으로 구성하는 방법을 알아 내면 바로 시도해야합니다.
Matt

4

Ipsec에는 UDP 포트 500 + ip 프로토콜 50 및 51이 필요하지만 대신 UDP 포트 4500이 필요한 NAt-T를 사용할 수 있습니다. 반면에 L2TP는 udp 포트 1701을 사용합니다. "일반"Wi-Fi를 통해 ipsec 트래픽을 전달하려는 경우 -Fi 라우터이며 IPSec 통과와 같은 옵션이 없습니다. 포트 500 및 4500을 여는 것이 좋습니다. 적어도 그것이 내 방식으로 작동합니다. 도움이 되었기를 바랍니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.