VPN-маршрутизатор включен перед брандмауэром
Фильтры пакетов для протокола L2TP/IPSec
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
- IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения (destination port) 500.
Данный фильтр разрешает передачу трафика обмена ключами в Интернете (Internet Key Exchange, IKE) к VPN-серверу.
- IP-адрес назначения интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, порт назначения 1701.
Данный фильтр разрешает передачу данных протокола L2TP к VPN-серверу.
Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
- Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 500.
Данный фильтр разрешает передачу трафика обмена ключами в Интернете (IKE) от VPN-сервера.
- Исходный IP-адрес интерфейса подключения к Интернету VPN-сервера, маска подсети 255.255.255.255, протокол UDP, исходный порт 1701.
Данный фильтр разрешает передачу данных протокола L2TP от VPN-сервера.
Трафик протокола ESP (Encapsulating Security Protocol) с номером протокола 50 не требует фильтров, поскольку фильтры службы маршрутизации и удаленного доступа применяются после того, как заголовок ESP удаляется компонентами IPSec.