PPTP/L2TP做VPN需要开放哪些端口
1. IKE协商的初始端口使用的是500,完成NAT-T能力检测和NAT网关探测后,封装ISAKMP消息的UDP端口号被修改为4500,后续协商及数据传输都使用这个端口。2. L2TP注册了UDP端口1701,但是这个端口仅用于初始的隧道建立过程。L2TP隧道发起方(LAC)任选一个空闲端口(未必是1701)向接收方(LNS)的1701端口发送报文;LNS收到报文后,也任选一个空闲端口(未必是1701),给LAC的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
3. 由于L2TP over IPSec是先对报文进行L2TP封装,再进行IPSec封装,故此处使用L2TP报文的端口1701作为匹配条件。所有经过了L2TP封装的报文都走IPSec隧道。
因此,在配置L2TP over IPSec时,在没有nat穿越的情况下,放行500端口和1701端口;
在有NAT穿越的场景下,放行500端口,4500端口和1701端口。
PPTP需开放端口:
UDP:1723
L2TP需开放端口:
UDP:500
UDP:4500
UDP:1701
页:
[1]