今天我有以下设置:
- 我的所有服务器都位于互联网上,它们受到 Windows 防火墙和使用带证书的 IPSec 的高级安全保护。其中包括域控制器。
- 所有客户端计算机都有一个 GPO 和相应的证书来使用服务器。
总而言之,它几乎是完美的,但仍然有一件事不起作用,一些互联网服务提供商阻止了一些通信端口(例如 135),这给客户端通过它们连接时带来了麻烦。
我不想依赖 VPN 设置,因为我的所有服务器都有 Internet IP,那么我为什么要依赖它呢?
看起来 IPSec 隧道可能是可行的方法。根据我的理解(我很难找到有关此内容的文档,即使在 MSDN 上也是如此),我可以设置一个隧道,让客户端充当网关,并在专用服务器中设置远程网关。
编辑
真正的问题是:隧道通信是否会被封装到一个给定的 UDP/TCP 端口,而不是每个请求都被直接转发?
例如,如果客户端尝试连接我的某个域控制器的 135 端口,它将通过互联网线路中的 135 端口进行传输,还是通过隧道传输到一个唯一/预定义的端口(例如 443),该端口具有更好的被打开的机会。客户端尝试联系的任何其他端口也是如此,全部封装到 443 中。
我希望这样更清楚,老实说,我认为这已经是第一次了!:)
谢谢
答案1
既然您修改了您的问题,那么是的。
这要看具体情况,
如果客户端通过其 LAN 上的某个 NAT 设备建立 VPN 隧道,并通过该隧道访问外部,则 IPSec 将通过 NAT-T 完成,其中所有 IPSec 流量都将封装在 UDP 数据报中,使用端口 4500。因此,通过隧道的所有通信都将通过 4500 UDP 端口进行。
IPsec over TCP 可与远程访问客户端配合使用。它仅是客户端到安全设备的功能。它不适用于 LAN 到 LAN 的连接。默认情况下使用 TCP 10000 端口。您也可以将其配置并更改为非标准端口(显然不是 80 或 443)。因此,所有 IPSec 流量都将通过该 10000 端口。
L2TP/IPSec 流量看起来就像线路上的 IPSec 流量。防火墙只需允许 IKE (UDP 500)
可能需要允许 Kerberos 流量通过防火墙,如果是这样,那么 UDP 端口 88 和 TCP 端口 88 也需要转发。
希望这有帮助。最初的问题确实不清楚。