VPN-сервер включен перед брандмауэром
Фильтры пакетов для протокола L2TP/IPSec
Настройте следующие фильтры входа, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
- В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, порт назначения – 500.
Данный фильтр разрешает IKE-трафик (Internet Key Exchange -обмен ключами в Интернете) к VPN-серверу.
- В качестве IP-адреса сети назначения укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, порт назначения – 1701.
Данный фильтр разрешает передачу L2TP-трафика к VPN-серверу.
Настройте следующие фильтры выхода, указав действие Игнорировать все пакеты, кроме тех, что отвечают указанным ниже критериям (Drop all packets except those that meet the criteria below):
- В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, исходный порт – 500.
Данный фильтр разрешает IKE-трафик от VPN-сервера.
- В качестве IP-адреса исходной сети укажите адрес интерфейса Интернета VPN-сервера. Маска подсети – 255.255.255.255, протокол – UDP, исходный порт – 1701.
Данный фильтр разрешает передачу L2TP-трафика от VPN-сервера.
ESP-трафик (ESP, Encapsulating Security Protocol) с номером протокола 50 не требует фильтров. Заголовок ESP удаляется компонентами IPSec до того, как L2TP-пакет передается службе маршрутизации и удаленного доступа.