我找到了一个我认为不错的指南,用于在 2012 R2 服务器上设置 L2TP VPN 访问。它让我相信我需要让端口 500、1701 和 4500 UDP 通过防火墙并将它们端口转发到服务器。这是第一个问题。那篇文章正确吗?
如果这是正确的,那么我是否应该能够在此服务器上执行 netstat -ano 并查看它是否在端口 500、1701 和 4500 上监听?因为现在 netstat 命令没有显示任何 UDP 端口。
答案1
- 不,你只需要UDP/500,UDP/4500和 ipsec 协议p(和 ipsec 一个h,但后者可能性很小)从防火墙转发到 LNS。您不需要UDP/1701因为它将被封装在IPSec ESP不在NAT-T udp/4500如果可以协商的话,您就不会在网上看到它。
- 由于您无法从防火墙正确转发任何 ipsec 帧,因此这会阻止客户端使用除 NAT-T 之外的任何功能。此外,从防火墙转发服务端口通常不是一个好主意。您应该为 LNS 分配公共 IP,无论是否dot1q VLAN。无论如何,如今任何 NATed 安装都趋于相当麻烦且难以调试。
- 使用 Windows 和 VPN 网关通常也不是一个好主意,因为它实际上并不是一个网络操作系统,而是一个过去的里程碑,但这取决于你。我宁愿使用 Linux/FreeBSD/Cicso/Juniper 等等。任何网络操作系统虚拟设备都适用,你甚至可以在 Windows hyper-V 上运行它。
- UDP 端口未被监听(因为
listen()调用用于 TCP 套接字),它们只是通过另一个名为的调用打开bind(),这就是为什么您在输出中看不到任何LISTEN行netstat -an。