web-dev-qa-db-fra.com

Quels ports pour IPSEC / LT2P?

J'ai un pare-feu/routeur (ne faisant pas de NAT).

J'ai googlé et vu des réponses contradictoires. Il semble que l'UDP 500 soit le plus courant. Mais les autres sont déroutants. 1701, 4500.

Et certains disent que je dois également autoriser gre 50, ou 47, ou 50 et 51.

Ok, quels ports sont les bons pour qu'IPSec/L2TP fonctionne dans un environnement routé sans NAT? c'est-à-dire que je veux utiliser le client Windows intégré pour me connecter à un VPN derrière ce routeur/pare-feu.

Peut-être qu'une bonne réponse ici est de spécifier les ports à ouvrir pour différentes situations. Je pense que cela serait utile pour beaucoup de gens.

linuxiptablesfirewallipsecl2tp
13
Matt

Voici les ports et protocoles:

  • Protocole: UDP, port 500 (pour IKE, pour gérer les clés de chiffrement)
  • Protocole: UDP, port 4500 (pour le mode IPSEC NAT-Traversal)
  • Protocole: ESP, valeur 50 (pour IPSEC)
  • Protocole: AH, valeur 51 (pour IPSEC)

En outre, le port 1701 est utilisé par le serveur L2TP, mais les connexions ne doivent pas être autorisées vers lui depuis l'extérieur. Il existe une règle de pare-feu spéciale pour autoriser uniquement le trafic sécurisé IPSEC entrant sur ce port.

Si vous utilisez IPTABLES et que votre serveur L2TP se trouve directement sur Internet, les règles dont vous avez besoin sont les suivantes:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NIC est le nom de votre carte d'interface réseau externe, par exemple ppp0.

22
David Lomax

Ipsec a besoin du port UDP 500 + des protocoles IP 50 et 51 - mais vous pouvez utiliser NAt-T à la place, qui a besoin du port UDP 4500. D'un autre côté, L2TP utilise le port udp 1701. Si vous essayez de faire passer le trafic ipsec via un Wi "normal" -Router routeur et il n'y a pas une telle option que le pass-through IPSec, je recommande d'ouvrir les ports 500 et 4500. C'est du moins ainsi que cela fonctionne sur le mien. J'espère que cela t'aides.

4
chickenloop