Quais portas para IPSEC / LT2P?

Eu tenho um firewall / roteador (não está executando o NAT).

Pesquisei no Google e vi respostas conflitantes. Parece que o UDP 500 é o mais comum. Mas os outros são confusos. 1701, 4500.

E alguns dizem que eu preciso também permitir gre 50, ou 47, ou 50 e 51.

Ok, quais portas são as corretas para o IPSec / L2TP funcionar em um ambiente roteado sem NAT? ou seja, eu quero usar o cliente interno do Windows para conectar-se a uma VPN por trás desse roteador / firewall.

Talvez uma boa resposta aqui seja especificar quais portas abrir para diferentes situações. Eu acho que isso seria útil para muitas pessoas.

Aqui estão as portas e protocolos:

• Protocolo: UDP, porta 500 (para IKE, para gerenciar chaves de criptografia)
• Protocolo: UDP, porta 4500 (para modo IPSEC NAT-Traversal)
• Protocolo: ESP, valor 50 (para IPSEC)
• Protocolo: AH, valor 51 (para IPSEC)

Além disso, a porta 1701 é usada pelo servidor L2TP, mas as conexões não devem ser permitidas de entrada de fora. Há uma regra de firewall especial para permitir apenas o tráfego protegido por IPSEC nesta porta.

Se você estiver usando IPTABLES e o servidor L2TP estiver diretamente na Internet, as regras necessárias são:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Onde $EXT_NICestá o nome da sua placa de interface de rede externa, por exemplo, ppp0.

O Ipsec precisa da porta UDP 500 + protocolo IP 50 e 51 - mas você pode usar o NAt-T, que precisa da porta UDP 4500. Por outro lado, o L2TP usa a porta udp 1701. Se você estiver tentando passar o tráfego IPsec através de um Wi "regular" -Fi router e não existe uma opção como passagem IPSec, recomendo abrir as portas 500 e 4500. Pelo menos é assim que funciona na minha. Espero que isto ajude.