IPSEC / LT2P的哪些端口？

我有防火墙/路由器（不做NAT）。

我用谷歌搜索，看到了矛盾的答案。似乎UDP 500是常见的一种。但其他人感到困惑。1701，4500。

有人说我还需要允许gre 50或47或50＆51。

好的，哪些端口适合IPSec / L2TP在没有NAT的路由环境中工作？即我想使用内置的Windows客户端连接到此路由器/防火墙后面的VPN。

也许这里的一个好答案是指定针对不同情况打开哪些端口。我认为这对许多人都是有用的。

以下是端口和协议：

• 协议：UDP，端口500（用于IKE，用于管理加密密钥）
• 协议：UDP，端口4500（用于IPSEC NAT穿越模式）
• 协议：ESP，值50（对于IPSEC）
• 协议：AH，值51（对于IPSEC）

同样，L2TP服务器使用端口1701，但不允许从外部入站连接。有一个特殊的防火墙规则，仅允许该端口上的IPSEC安全流量入站。

如果使用IPTABLES，并且您的L2TP服务器直接位于Internet上，那么您需要的规则是：

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

$EXT_NIC您的外部网络接口卡名称在哪里，例如ppp0。

ipsec需要UDP端口500 + ip协议50和51-但是您可以改用NAt-T，它需要UDP端口4500。另一方面，L2TP使用udp端口1701。如果您尝试通过“常规” Wi-Fi传递ipsec流量-Fi路由器，没有IPSec直通的选项，我建议打开端口500和4500。至少这是我的工作方式。希望这可以帮助。