L2TP/IPSecのルータのポート開放

解決済

質問者：testmaster_x
質問日時：2013/02/13 00:44
回答数：5件

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の３つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか？

同じようにサーバ側のパケットフィルタリングでも上記３つを開放しています。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (5件)

ベストアンサー優先
最新から表示
回答順に表示

No.3ベストアンサー

回答者： nnori7142
回答日時：2013/02/13 18:57

　お尋ねの件ですが、1701ポートＮｏをトンネルトランスポートされるようにしていますか？

　4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか？
　上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか？
　DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

この回答への補足

テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
2 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:500
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:1701
5 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:4500

VPN認証は通過していますが、上記許可ではクライアントがネットには繋がりませんでした。（espを追加許可しました）
サーバ側のファイアフォールを無効にすればネットに繋がるのですが。。
サーバ側のどのパケットでひっかかっているのやらです。。

補足日時：2013/02/14 03:14

通報する

- 2
- 件

通報する

この回答へのお礼

ありがとうございます。
具体的なポート開放状況は#2さんへの返信で書かせてもらいました。

＞DMZホスト設定でルーターの着信データを全てサーバへ向けて

DMZに置おいてサーバ側で制御するか、DMZに置かずルータで制御してサーバ側でファイアフォールなしにするかが一番簡単ですが
現在は、DMZには置かず、ルータで指定したもののパケットを許可しつつ、
サーバ側のパケットフィルタリングでもそれを許可するような２重設定にしています。

通報する

お礼日時：2013/02/14 01:58

No.5

回答者： OCNセキュリティ編集部
回答日時：2017/12/06 15:49

L2TP/IPSecは、VPN接続を行うときのプロトコルです。

VPN接続とは、通信を暗号化してインターネットをトンネリングすることで、専用線に近い安全性を確保する手法です。このため、自宅と会社を安全にインターネット接続する際などに活用されます。

VPN接続はルーター側で設定することになりますが、まずはL2TP/IPSec関連のポート（1701、4500、500）を開放します。また、トンネルトランスポートの設定も行います。そしてVPN接続で使用する通信のポート（80など）もルーティングの設定が必要になります。さらに、パケットフィルタリングのローカル転送の設定も必要です。このほか、パソコン側でもVPN接続用の設定を行います。

VPN接続の設定については、ルーターのメーカーのホームページなどでも紹介されていますので、参考にすると良いでしょう。

- 0
- 件

通報する

No.4

回答者： nnori7142
回答日時：2013/02/14 07:13

　追加補足確認しました。

そうすると、外部PCのルータの動的フィルター及びダイナミックルーティングにて、LAN内端末からTCP80番のルーティング許可を設定してあげる必要があるかと存じます。
　Yamahaのルーター設定の例として、「ip filter dynamic 1001 * * www」といったコマンドを、「ip lan3 secure filter out 2000 2001 2002 dynamic 1001」といったIPフィルタのoutコマンドにdynamicルーティングコマンドにて、許可でしょうか。
　サーバ側にてフィルタ解除で接続可能と言う事は、フィルターのoutコマンドルールで、TCP80のルーティングはサーバ側ではなく、外部PCのルーターからルーティングさせる設定かと存じます。

この回答への補足

サーバのローカルインタフェース(eth0)の転送設定を見てみたら

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

とデフォルトでなっていて何も許可されていませんでした。これが原因だと思います。

異なるインタフェース間の転送(L2TP(仮想eth0)→物理インターフェース(eth0)の転送
(IP Fowarding)を有効にする設定として
*** /etc/sysctl.conf ***
net.ipv4.ip_foward=1 ※0から1に変更。
これで転送されるとばかり思っていて、勘違いしていました。
これは異なるインターフェース間の転送設定ですね。。。

仮想eth1から転送されてローカルインタフェースeth0に入ってきたものを
さらに、パケットフィルタリングのローカル転送Chain FORWARDで転送させるのを忘れていました。

よって、

Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

これで無事転送され、ネットに繋がりました。勉強不足ですいません。

補足日時：2013/02/16 19:24

通報する

- 1
- 件

通報する

No.2

回答者： pakuti
回答日時：2013/02/13 17:42

ipsecを利用する場合、認証方法によって以下を許可する必要があります。

ESP　TCP/50
AH　 TCP/51

L2TPはそのままで通ると思いますが、ダメですか？

この回答への補足

１．ルータのポートフォワーディング
4500udp
500udp
※ルータは1701udpを開放しなくても大丈夫だった。

２．サーバのパケットフィルタリング
4500udp
500udp
1701udp
※この３つのどれか１つを外しても繋がりませんでしたので３つ開放しています。

とすることで外部からVPNサーバに接続でき認証まで通りました。

しかしこの状態で外部のクライアントからネットをするとネットにはつながりませんでした。
そこでサーバ側のパケットフィルタリングを無効（ファイアフォール無効）にすると
ネットに繋がるようになりました。

ということはサーバ側で4500udp/500udp/1701upd以外に開放しないといけないこととして
プロトコル番号50(esp)と書かれてあったのでそれも開放しましたが、VPN認証まではできていてもネットには繋がりませんでした。

そこでさらにルータ側もプロトコル50(esp)をサーバに向けて開放しましたが
それでもだめでした。
ルータ側は50（esp)を開放しなくてもサーバ側でパケットフィルタリングを無効にすればネットに繋がったのでルータの50(esp)開放は関係なく、サーバ側のパケットフィルタリングに問題があるのかと思います。

ということであとはサーバ側のパケットフィルタリングで何がひっかかっているのかが
分からない状況です。

サーバ側開放（まとめ）
4500upd
500udp
17001upd　←ここまででVPN認証通過。（しかしネットには繋がらず）
プロトコル番号50(esp)←これも追加しましたがネットには繋がらずです・・・
※パケットフィルタリング無効（ファイアフォール無効）にすればネットに繋がります。