我有一个防火墙/路由器(不做NAT)。
我GOOGLE了,看到相互矛盾的答案。 看来UDP 500是常见的。 但其他人混淆。 1701,4500。
有人说我也需要让50或47,或50和51。
好的,哪些端口是正确的IPSec / L2TP工作在没有NAT的路由环境? 即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。
也许这里的一个好的答案是指定为不同情况打开哪些端口。 我认为这对许多人有用。
这里是端口和协议:
此外,L2TP服务器使用端口1701,但不应允许连接从外部入站。 有一个特殊的防火墙规则,只允许在该端口入站的IPSEC安全stream量。
如果使用IPTABLES,并且您的L2TP服务器直接在互联网上,那么您需要的规则是:
iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT 其中$EXT_NIC是您的外部networking接口卡名称,例如ppp0。
Ipsec需要UDP端口500 + IP协议50和51 – 但是您可以使用NAt-T来替代,这需要UDP端口4500.另一方面,L2TP使用udp端口1701.如果您尝试通过“常规”Wi -Fi路由器,并没有IPSec通过这样的选项,我build议打开端口500和4500.至less这是如何工作在我的。 希望这可以帮助。