Portar för VPN i brandvägg?

Tråden skapades och har fått 19 svar. Det senaste inlägget skrevs .
1

Jag har en 10.4 server som jag dragit igång VPN på.
Jag lyckas ansluta till den inifrån men när jag vill ansluta utifrån undrar jag vilka portar som jag ska öppna för att det ska fungera.

Lite efterforskningar visar att det ska vara UDP 500 och 1701 för IPsec.

Enl Apples dokumentation ska man välja Kerberos om maskinen som ska ansluta mot server är knuten mot samma KDC. Och det är min maskin.
Ska jag då även öppna för TCP/UDP 749?

Brandväggen är inte en OS X kärra utan en OpenBSD 4.2 maskin med PF.

  • Medlem
  • Stockholm
  • 2008-02-09 15:48

vad jag ser så är det dessa portar du behöver öppna

TCP 1723 PPTP Mac OS X Server VPN service
UDP 500 ISAKMP/IKE Mac OS X Server VPN service
UDP 1701 L2TP Mac OS X Server VPN service
UDP 4500 IKE NAT Traversal Mac OS X Server VPN service

med andra ord TCP 1723, UDP 500, UDP 1701 och UDP 4500

Tack får testa det.

Men frågan är om jag behöver öppna för Kerberos också, eftersom det är den rekommenderade inställningen.

  • Medlem
  • Stockholm
  • 2008-02-09 18:25

nä, Kerberos behövs inte, tycker det är konstigt att apple skriver det, det är inte din klient som är själva källan för autenticering utan servern, lägger du användarna lokalt på servern eller pratar du ldap/radius mot en annan användardatabas?

Nej det vet jag att det inte är men jag trodde servern vill prata med min Kerberosklient för att upprätta anslutningen på ett säkert sätt.

Nej, de användare som får använda VPN finns på servern i LDAPv3 domänen.

Du verkar ha gjort detta med OS X server, detta är en av de få saker jag inte satt upp, så frågan nu är skulle du rekommendera Kerberos eller MS-CHAPv2?

Senast redigerat 2008-02-09 18:37
  • Medlem
  • Stockholm
  • 2008-02-10 20:26

har aldrig hört att någon auteticerar sitt vpn med kerberos.

Nej, inte jag heller...
Men eftersom valet finns så tänkte jag testa. Jag kör MS-CHAPv2 nu.
Få se hur det lirar imorgon när jag testar från jobbet.

Nu har jag testat och det fungerar inte exakt var problemet ligger vet jag inte ännu.
Ska kolla loggar på min brandvägg för att se om det är den som sätter stopp eller så kan det vara jobbets brandväggar som sätter stopp.

PPTP eller L2PT

Hallå

Använder du PPTP eller L2TP? Du behöver även öppna:
PPTP uses the IP-GRE protocol (IP protocol 47). L2TP/IPsec uses the IP-ESP protocol (IP protocol 50, ESP).

// Mendezzz

L2TP använder jag.
Ah port TCP 50 också!
Nu har jag lagt till port 50 TCP i brandväggen hemma men lyckas ändå inte.

Felmeddelandena i loggen är rätt sparsmakade:

Mon Feb 11 11:51:34 2008 : L2TP connecting to server...
Mon Feb 11 11:51:37 2008 : IPSec connection started
Mon Feb 11 11:51:47 2008 : IPSec connection failed
Ursprungligen av Mattias Hedman:

L2TP använder jag.
Ah port TCP 50 också!
Nu har jag lagt till port 50 TCP i brandväggen hemma men lyckas ändå inte.

Felmeddelandena i loggen är rätt sparsmakade:

Mon Feb 11 11:51:34 2008 : L2TP connecting to server...
Mon Feb 11 11:51:37 2008 : IPSec connection started
Mon Feb 11 11:51:47 2008 : IPSec connection failed

Nej inte TCP port 50 utan IP protokoll 50(ESP).

Jag har all portar som har att göra med VPN att göra enl det dokumentet öppna i brandväggen.

hahaha ser man på man ska läsa ordentlig också.
Hur fixar jag in detta protokoll då?

Eller är det enklare att byta till PPTP?

PPTP är väl lite lättare, men ungefär samma där måste man också öppna för IP protocol 47(GRE) för att få det att fungera.

Port TCP 10000 och UDP 500 ska vara öppna för att IPSEC ska fungera, de är nu öppna men trots det fungerar det inte.
Jag börjar misstänka min egen brandvägg att det är något som saknas för att det ska lira.

Jag undersöker det först så får vi se.

Ursprungligen av Mattias Hedman:

Port TCP 10000 och UDP 500 ska vara öppna för att IPSEC ska fungera, de är nu öppna men trots det fungerar det inte.
Jag börjar misstänka min egen brandvägg att det är något som saknas för att det ska lira.

Jag undersöker det först så får vi se.

Du måste öppna för IP protocol 50 (ESP) för att få det att fungera.

Har ingen direkt koll på PF men tror det bör se ut ungefär så här:
rdr pass on $extIF proto esp from any to any -> [vpn-server]
eller något liknande notera "proto esp" istället för tcp eller udp...

Hmmm intressant! Jo jag provade med en rdr men jag använde så klart tcp och udp.
Får testa det! Tack!

Hjälpte inte har inte haft tid att kolla några som helst loggar.

Senast redigerat 2008-02-11 16:23
  • Medlem
  • Göteborg
  • 2008-03-02 16:06

Hej, detta var helt klart en intressant tråd. Jag har ett liknade problem, jag skall via min mac ansluta till mitt jobb som har pc. Det funkar jätte bra om jag sitter på en PC så jag vet att min konto funkar. Men när jag vill göra det samma på min macbook pro blir det ingen anslutning. Av vad jag läst här så verkar det som man skall öppna en brandväggsport med... men hur och var gör jag det? Är ny på detta tekniska med macen.

hoppas nån kan hjälpa mig.

1
Bevaka tråden