我有防火墙/路由器(不做NAT).
我用Google搜索并看到了相互矛盾的答案.似乎UDP 500是常见的.但其他人都很困惑. 1701,4500.
有人说我还需要允许gre 50,或47,或50& 51.
好的,哪些端口是IPSec / L2TP在没有NAT的路由环境中工作的正确端口?即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN.
这里也许一个很好的答案是指定为不同情况打开哪些端口.我认为这对很多人都有用.
解决方法
以下是端口和协议:
>协议:UDP,端口500(用于IKE,用于管理加密密钥)
>协议:UDP,端口4500(用于IPSEC NAT-Traversal模式)
>协议:ESP,价值50(IPSEC)
>协议:AH,值51(对于IPSEC)
此外,L2TP服务器使用端口1701,但不允许从外部对其进行连接.有一个特殊的防火墙规则,只允许此端口上的IPSEC安全流量入站.
如果使用IPTABLES,并且您的L2TP服务器直接位于互联网上,那么您需要的规则是:
iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
其中$EXT_NIC是您的外部网络接口卡名称,例如ppp0的.
