Administrace komentářů

pokud narazíš na článek / howto, který ti bude radit, aby jsi na fw povoloval L2TP port 1701, tak přestaň číst a uteč, protože dotyčný neví, co dělá

Radsej nikde neutekat a skorsie docitat clanok s pochopenim ... Tiez planujem nasadzovat L2TP/IPSec a co som si vsimol, tak velmi malo clankov riesi "co sa deje na drote" ... Casto krat je jeden clanok pre L2TP/None, L2TP/MPPE a L2TP/IPSec. Potom uz len niekde na konci je okrajovo spomenute, ze treba 1701/UDP (l2tp), 500/UDP (isakmp), 4500/UDP(ipsec-nat-t) a IPSEC-ESP. Casto krat bez poznamok, co je co a k comu sa pouziva (len cisla portov). Zrejme uz nevyslo miesto na konkretnejsie informacie :D

Ktore porty a ako povolit dost zalezi aj na konkretnej situacii ... ked ma clovek jeden FW na vstupe do siete a az niekde v sieti sedi VPN server (bez firewallu), tak samozrejme staci na FW povolit len IPSec veci a L2TP port nema zmysel tam povolovat. Taka konfiguracia je aj dalsia obrana voci chybe, kedy by sa client pripojil s L2TP/None, alebo L2TP/MPPE. Proste ten port nie je dostupny, tak to nepojde ... ina situacia je ale, ked FW a VPN server sedi na jednom zariadeni. V mojom pripade, po tom co router desifruje IPSec, strci vysledny packet znova do input chain-u vo firewalle. Tym padom ten 1701 port povolit musim, alebo inac sa to k L2TP nedostane. Nastastie ta VPN cast si vie pozriet IPSec stav a "use-ipsec=require" zabezpeci, ze akekolvek ine spojenia su zahodene. Clienta to vyhodi, este nez vobec zacne nadvazovat spojenie ...

Je skoda, ze len malo clankov spomina, ako veci funguju interne a preco ktory port treba ...