VPN - Hvilke porter?

[bergangster]

Jeg sitter her og har satt opp en VPN-server i Windows Server 2000, og skal sende en mail til ISPen min og be dem konfigurere routeren min. Det jeg lurer på er hvilke porter jeg skal be dem åpne, og hvilken informasjon de trenger. Regner med det er public IP, local IP (til serveren) og portrange. Noe mer jeg bør sende med?

[jocke]

Tror du må åpne følgende porter (er ikk 100% sikker);

 

TCP: 2005, 2006, 7064

UDP: 2005, 2006, 7064

[bergangster]

Hm... Så var det forskjellen på pptp og l2tp, har forstått at l2tp er den sikreste måten, hvilke porter bruker den?

[ob1]

Dette er noe man først bør søke på i f.eks "hjelp" på start-menyen eller microsoft sine sider.

 

L2TP krever digitale sertifikater så det er en god del mer jobb enn PPTP som stort sett er plug-and-play Søket "pptp ports" i hjelp på startmenyen ga meg bl.a. dette treffet på Microsoft sine sider.

 

Som du kan lese så er portene 47 og 1723 for pptp.

[knut]

Dette er noe man først bør søke på i f.eks "hjelp" på start-menyen eller microsoft sine sider.

 

L2TP krever digitale sertifikater så det er en god del mer jobb enn PPTP som stort sett er plug-and-play Søket "pptp ports" i hjelp på startmenyen ga meg bl.a. dette treffet på Microsoft sine sider.

 

Som du kan lese så er portene 47 og 1723 for pptp.

Du har nesten rett. Det er protokoll 47 som brukes, og ikke port 47. Dette er ikke støttet av de fleste soho gatewayene, men det er noen som er linuxbaserte som takler dette. Blant andre Asus WL-500g har implementert dette i den siste firmwaren.

 

Som det også står i det dokumentet du viste er det ingen enkle måter å ha en pptp server bak en nat router pga at den bruker protokoll 47 istedet for TCP eller UDP.

 

For enkel og uproblematisk VPN anbefaler jeg deg å se på en gateway med VPN server funksjonalitet. Jeg har forholdsvis god erfaring med 3Com 3CR870-95 som har støtte for PPTP, IPSec og L2TP/IPSec. Ellers har Linksys et par spennende bokser, men de takler bare IPSec som kan være særdeles vanskelig å sette opp på klientmaskinen, men er derimot hyggelig om du skal ha en tunnel mellom to gatewayer.

 

Jeg skal også teste en DrayTek router (2900Gi) som har støtte for 32 samtidige tunneler av PPTP, L2TP/IPSec og IPSec, samtidig som den har støtte for VLAN, bandwith management og trådløst.

[ob1]

teori og praksis antar jeg...for jeg kjører VPN server hjemme (PPTP) med port 47 og 1723 åpnet og videresendt til riktig privat adresse på nettverket mitt. Det virker 100%!

[knut]

teori og praksis antar jeg...for jeg kjører VPN server hjemme (PPTP) med port 47 og 1723 åpnet og videresendt til riktig privat adresse på nettverket mitt. Det virker 100%!

Du kan prøve å ikke åpne port 47 så kan du se om det blir en forandring.

 

Det er også noen nat routere som støtter VPN passthrough, som muligens også fungerer om du har en server på innsiden. På klientsiden er også PPTP betydlig snillere om du er bak en NAT gateway enn f.eks. IPSec

[dostojevski]

Den gamle Netopiarouteren til NGT for eksempel gir deg mulighet til å angi protokoll 47 (GRE) i ip-filteret.

 

Hvis det ikke er noe filter i tillegg til NAT-funksjonaliteten burde det vel funke å bare åpne port 47?

[bergangster]

L2TP krever digitale sertifikater så det er en god del mer jobb enn PPTP som stort sett er plug-and-play

Men er det forferdelig vanskelig?

[ob1]

litt....prbloblemet er alle alle klienter som skal koble opp L2TP må ha det sertifikatet installert. Hvordan skal du spre det ut til alle aktuelle klienter?

 

Digitale sertifikater er ikke veldig vanskelig, men det er mer jobb å sette det opp. PPTP tilbyr høy nok sikekrhet for privatpersoner uansett.

[bergangster]

Nå er det bare to klienter da, og de har begge laptopen sin med seg på jobben, så distribueringen blir et svært lite problem! Har valgt L2TP siden de driver med ordredatabaser og denslags, ting som helst ikke skal komme på avveie el bli ødelagt... Men bør jeg bruke MS-Chapv2 eller IPSec? Heller mot å gå for IPSec, såvidt jeg forstår det gir det den beste krypteringen?

[ob1]

ipsec