Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

VPN-сервер включен за брандмауэром

Фильтры пакетов для протокола L2TP/IPSec

Для интерфейса подключения к Интернету и для интерфейса сети периметра могут быть настроены отдельные фильтры входа и выхода.

Фильтры для интерфейса подключения к Интернету

Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры входа чтобы разрешить следующие типы трафика:

  • IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол UDP, порт назначения (destination port) 500 (0x1F4).

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) к VPN-серверу.

  • IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32).

    Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу.

Настройте для интерфейса подключения к Интернету брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

  • Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол UDP, исходный порт (source port) 500 (0x1F4).

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера.

  • Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32).

    Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера.

Для L2TP-трафика на UDP-порте 1701 фильтры не требуются. Весь L2TP-трафик брандмауэра, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.

Фильтры для интерфейса сети периметра

Настройте для интерфейса сети периметра брандмауэра следующие фильтры входа, чтобы разрешить следующие типы трафика:

  • Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол UDP, исходный порт (source port) 500 (0x1F4).

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера.

  • Исходный IP-адрес интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32).

    Данный фильтр разрешает передачу ESP-трафика протокола IPSec от VPN-сервера.

Настройте для интерфейса сети периметра брандмауэра следующие фильтры выхода, чтобы разрешить следующие типы трафика:

  • IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол UDP, порт назначения (destination port) 500 (0x1F4).

    Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) к VPN-серверу.

  • IP-адрес назначения интерфейса сети периметра VPN-сервера, протокол IP, номер протокола IP 50 (0x32).

    Данный фильтр разрешает передачу ESP-трафика протокола IPSec к VPN-серверу.

Для L2TP-трафика на UDP-порте 1701 фильтры не требуются. Весь L2TP-трафик брандмауэра, включая обслуживающий трафик туннеля и туннелированные данные, шифруется как полезные данные ESP протокола IPSec.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.