PPTP/L2TP做VPN需要开放哪些端口

兼职杀手

1. IKE协商的初始端口使用的是500，完成NAT-T能力检测和NAT网关探测后，封装ISAKMP消息的UDP端口号被修改为4500，后续协商及数据传输都使用这个端口。
2. L2TP注册了UDP端口1701，但是这个端口仅用于初始的隧道建立过程。L2TP隧道发起方（LAC）任选一个空闲端口（未必是1701）向接收方（LNS）的1701端口发送报文；LNS收到报文后，也任选一个空闲端口（未必是1701），给LAC的指定端口回送报文。至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。
3. 由于L2TP over IPSec是先对报文进行L2TP封装，再进行IPSec封装，故此处使用L2TP报文的端口1701作为匹配条件。所有经过了L2TP封装的报文都走IPSec隧道。
因此，在配置L2TP over IPSec时，在没有nat穿越的情况下，放行500端口和1701端口；
在有NAT穿越的场景下，放行500端口，4500端口和1701端口。

1. PPTP需开放端口：
   
2. UDP:1723
   
3. 
   
4. L2TP需开放端口：
   
5. UDP:500
   
6. UDP:4500
   
7. UDP:1701

复制代码