Quels ports pour IPSEC / LT2P?

13

J'ai un pare-feu / routeur (ne faisant pas de NAT).

J'ai googlé et vu des réponses contradictoires. Il semble que l'UDP 500 soit le plus courant. Mais les autres sont déroutants. 1701, 4500.

Et certains disent que je dois également autoriser gre 50, ou 47, ou 50 et 51.

Ok, quels ports sont les bons pour qu'IPSec / L2TP fonctionne dans un environnement routé sans NAT? c'est-à-dire que je veux utiliser le client Windows intégré pour me connecter à un VPN derrière ce routeur / pare-feu.

Peut-être qu'une bonne réponse ici est de spécifier les ports à ouvrir pour différentes situations. Je pense que cela serait utile pour beaucoup de gens.

Mat
la source
Ai-je raison si c'est udp 500,1701 et gre 50?
Matt

Réponses:

22

Voici les ports et protocoles:

  • Protocole: UDP, port 500 (pour IKE, pour gérer les clés de chiffrement)
  • Protocole: UDP, port 4500 (pour le mode IPSEC NAT-Traversal)
  • Protocole: ESP, valeur 50 (pour IPSEC)
  • Protocole: AH, valeur 51 (pour IPSEC)

En outre, le port 1701 est utilisé par le serveur L2TP, mais les connexions ne doivent pas être autorisées vers lui depuis l'extérieur. Il existe une règle de pare-feu spéciale pour autoriser uniquement le trafic sécurisé IPSEC entrant sur ce port.

Si vous utilisez IPTABLES et que votre serveur L2TP se trouve directement sur Internet, les règles dont vous avez besoin sont les suivantes:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Où se $EXT_NICtrouve le nom de votre carte d'interface réseau externe, par exemple ppp0.

David Lomax
la source
1
J'ai trouvé que je n'ai pas besoin d'ESP & AH car je n'utilise pas directement IPSEC mais IPSEC sur L2TP avec NAT. Je peux donc m'en tirer avec les ports 500,4500,1701. Commentaire intéressant sur la règle spéciale pour 1701. Je devrai essayer cela dès que je trouverai comment le configurer avec Mikrotik.
Matt
4

Ipsec a besoin du port UDP 500 + des protocoles ip 50 et 51 - mais vous pouvez utiliser NAt-T à la place, qui a besoin du port UDP 4500. D'un autre côté, L2TP utilise le port udp 1701. Si vous essayez de faire passer le trafic ipsec via un Wi "normal" -Router routeur et il n'y a pas d'option telle que la transmission IPSec, je recommande d'ouvrir les ports 500 et 4500. C'est du moins ainsi que cela fonctionne sur le mien. J'espère que cela t'aides.

poulet
la source