我正在使用一家提供 IKEv2 VPN 的公司提供的 VPN 服务。我尝试在 Windows 防火墙中启用它,方法是允许 UDP 端口 500 和 4500。我还允许协议号 50 和 51,但没有成功。我可以连接到服务,但“无网络访问权限”。换句话说,没有互联网访问权限。当我完全禁用 Windows 防火墙时,我可以访问互联网。我如何允许 IKEv2 VPN 流量通过。顺便说一句,当我查看日志时,我注意到协议 4 (IPv4) 数据包是如何被丢弃的。我如何在不启用整个 IPv4 数据包的情况下启用 IKEv2。我知道的唯一解决方法是将丢弃的协议 4 数据包中被阻止的 IP 添加到协议 4 规则中。不过,我想要一些通用的东西。谢谢。
答案1
跨 NAT 路由器的 IKE 需要使用 NAT 遍历选项 (NAT-T)。NAT-T 使用完整 UDP 封装到服务器目标端口 4500。
本机 IKE 的端口 500 以及协议 50(ESP)和 51(AH)在这里毫无用处,因为它们与 NAT 不兼容。
答案2
如果您在 Windows 防火墙中将某些配置文件的“出站连接”设置为“阻止”,那么为了使与 IKEv2 VPN 服务器“xxxx”的连接正常工作 - 您需要添加出站规则:
- 程序和服务 - 本程序:系统
- 范围 - 远程 IP 地址:xxxx
- 协议和端口 - 协议类型:任意
- 高级:检查所有被阻止的配置文件
UDP 500,4500 不够,看起来还使用了一些其他协议/端口。
答案3
当我完全禁用 Windows 防火墙时,我就可以访问互联网了。
这很奇怪。默认情况下,Windows 防火墙不会阻止任何出站流量。
当我们连接 VPN 服务器时,我们会将所有流量转发到 VPN 服务器。VPN 服务器应该正确地将这些数据包转发到互联网。如果 VPN 服务器不帮助转发互联网流量,您将遇到此问题。
您有两种解决方法:
确保 VPN 服务器具有合适的路由来将来自 VPN 客户端的数据包转发到互联网。
删除指向 VPN 服务器的默认网关,并添加一些合适的静态路由以访问 VPN 服务器后面的子网。
