Sie sind hier: Home » Uni-Firewall » Hinweise für einzelne Protokolle und Anwendungen » Betrieb von VPN Clients

Betrieb von VPN Clients

Inhalt

Protokolle

  • IP
  • ICMP: IP Protokoll 1
  • TCP: IP Protokoll 6, ist unterteilt in 65536 Ports auf beiden Seiten der Verbindung
  • UDP: IP Protokoll 17, ist unterteilt in 65536 Ports auf beiden Seiten der Verbindung
  • GRE: IP Protokoll 47
  • IPsec ESP: IP Protokoll 50
  • IPsec AH: IP Protokoll 51
  • L2TP: UDP Port 1701 oder (selten) IP Protokoll 115
  • ISAKMP bzw. IKE UDP Port 500, manchmal auch UDP Port 4500 oder 10000

Grundsätzliche Freischaltungen

Ausgehend sind folgende Dienste grundsätzlich freigeschaltet:

  • ESP
  • UDP Port 500 (ISAKMP)
  • UDP Port 750 (Kerberos 4)
  • Ausgehende TCP Verbindungen
  • ICMP

Cisco AnyConnect

Cisco AnyConnect tunnelt über (D)TLS; es probiert zuerst eine Verbindung über DTLS (UDP Port 443), und weicht auf TLS (TCP Port 443, auch benutzt für HTTPS) aus, falls die UDP Verbindung nicht funktioniert.

Freier Client für Unix Systeme: OpenConnect.

CiscoVPN

Quelle für die folgenden Informationen zu CiscoVPN:

https://groups.google.com/group/comp.dcom.sys.cisco/msg/f2deeb3fbdf19fea

“Normal”

Benötigt ESP und ausgehend UDP Port 500; kann zusätzlich das IP Protokoll AH benötigen, falls dies konfiguriert wurde.

NAT-T (NAT Traversal)

Benötigt UDP Port 500 und 4500 (10000 in älteren Versionen) und weitere UDP Ports können dynamisch benötigt werden.
Die ESP Pakete werden hier über UDP Port 4500 getunnelt.

Dieser Modus wird evtl. benötigt wenn der Client hinter einem NAT Gateway sitzt.

L2TP over IPsec

Selbige Anforderungen wie für Normal und NAT-T, da L2TP in IPsec getunnelt wird und für die Firewall selbst nicht sichtbar ist.

OpenVPN

Kann entweder UDP oder TCP verwenden, benötigt normalerweise jeweils Port 1194. Für bessere Performance wird UDP empfohlen (und ist der Standard).

PPTP

Tunnelaufbau erfolgt über TCP Port 1723, der Datenaustausch erfolgt über GRE.

PPTP hat einige Sicherheitsprobleme, siehe auch die englischsprachige Wikipedia Seite Point-to-Point Tunneling Protocol.

SSTP

SSTP tunnelt die Daten über L2TP oder PPP in einer SSL 3.0 Verbindung über TCP Port 443.

L2TP

L2TP ist nur ein Tunneling Protokoll und bietet keine Verschlüsselung an.

Die benötigten Freischaltungen an der Firewall hängen davon ab, mit welchem Protokoll L2TP dabei kombiniert wird (z.Bsp. IPsec); L2TP hat in diesen Fällen keine eigenen Anforderungen an die Firewall.

Soll L2TP ohne weiteres Protokoll betrieben werden (unsicher, nicht empfohlen!), wird entweder UDP Port 1701 oder (seltener) das IP Protokoll 115 benötigt.