Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-маршрутизатор включен перед брандмауэром

Фильтры пакетов для протокола L2TP/IPSec

Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

  • IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения (destination port) 500.

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (Internet Key Exchange, IKE) к VPN-серверу.

  • IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения 1701.

    Данный фильтр разрешает передачу данных протокола L2TP к VPN-серверу.

Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):

  • Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 500.

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера.

  • Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 1701.

    Данный фильтр разрешает передачу данных протокола L2TP от VPN-сервера.

Трафик протокола ESP (Encapsulating Security Protocol) с номером протокола 50 не требует фильтров, поскольку фильтры службы маршрутизации и удаленного доступа применяются после того, как заголовок ESP удаляется компонентами IPSec.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.