¿Qué puertos para IPSEC / LT2P?

Tengo un firewall / enrutador (no estoy haciendo NAT).

Busqué en Google y vi respuestas conflictivas. Parece que UDP 500 es el común. Pero los otros son confusos. 1701, 4500.

Y algunos dicen que también necesito permitir gre 50, o 47, o 50 y 51.

Ok, ¿qué puertos son los correctos para que IPSec / L2TP funcione en un entorno enrutado sin NAT? es decir, quiero usar el cliente integrado de Windows para conectarme a una VPN detrás de este enrutador / firewall.

Quizás una buena respuesta aquí es especificar qué puertos abrir para diferentes situaciones. Creo que esto sería útil para muchas personas.

Aquí están los puertos y protocolos:

• Protocolo: UDP, puerto 500 (para IKE, para administrar claves de cifrado)
• Protocolo: UDP, puerto 4500 (para modo IPSEC NAT-Traversal)
• Protocolo: ESP, valor 50 (para IPSEC)
• Protocolo: AH, valor 51 (para IPSEC)

Además, el servidor L2TP utiliza el puerto 1701, pero no se deben permitir las conexiones entrantes desde el exterior. Hay una regla de firewall especial para permitir solo el tráfico entrante seguro IPSEC en este puerto.

Si usa IPTABLES y su servidor L2TP se encuentra directamente en Internet, las reglas que necesita son:

iptables -A INPUT -i $EXT_NIC -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 50 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p 51 -j ACCEPT
iptables -A INPUT -i $EXT_NIC -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

¿Dónde $EXT_NICestá el nombre de su tarjeta de interfaz de red externa, por ejemplo, ppp0?

Ipsec necesita el puerto UDP 500 + protocolo IP 50 y 51, pero puede usar NAt-T en su lugar, que necesita el puerto UDP 4500. Por otro lado, L2TP usa el puerto udp 1701. Si intenta pasar el tráfico ipsec a través de un Wi "regular" -Enrutador Fi y no existe una opción como el paso IPSec, recomiendo abrir los puertos 500 y 4500. Al menos así es como funciona en el mío. Espero que esto ayude.