VPN Poorten

Pagina: 1
Acties:
  • 1.417 views sinds 30-01-2008
  • Reageer

Acties:
  • 0 Henk 'm!

  • Flydude
  • Registratie: Mei 2003
  • Laatst online: 28-06 15:36

Flydude

Mighty pirate

Topicstarter
Af en toe wil ik van ons interne bedrijfsnetwerk naar een klant toe kunnen VPN-en. Tot nog toe was ik dan overgeleverd aan een laptop die buiten dit netwerk staat, maar onze interne automatisering wil wel meewerken om dit ook vanaf elk werkstation mogelijk te maken. Nu wil onze interne automatisering weten welke poorten er in de firewall open moeten staan om VPN verkeer naar buiten toe te staan. Dat blijkt helaas niet zo standaard te zijn als ik gehoopt had.

Google is ook wat dubbelzinnig. Althans, ik kan geen eenduidig antwoord vinden. Dus heb ik Wireshark (het oude Ethereal) aangezet tijdens een VPN-sessie met een Cisco client om te kijken welke poorten er gebruikt worden.

Voor VPN over UDP heb ik gevonden:

poort 62581
poort 500
poort 4500

en voor VPN over TCP heb ik gevonden:

UDP 62581
UDP 500
en TCP 10000 (maar die kan je configureren).

Is dat het dan ook? Heb ik ze echt allemaal nodig? Of kan je toe met minder poorten maar probeert de client ze allemaal?

Kortom, wie zou enig licht kunnen bieden in deze zaak?

I am rubber, you are glue


Acties:
  • 0 Henk 'm!

Anoniem: 2938

Welk protocol gebruik je om de VPN tot stand te brengen? PPTP, IPSEC, L2TP?

Wat wil je over die VPN kunnen doen? Het systeem overnemen via RDP of Netop bvb? Als dat
het geval is heb ik nog wel een andere oplossing voor je.

Port Service
20,21 FTP (File transfer)
22 SSH (Remote login secure)
25 SMTP (Internet mail)
53 DNS (Host naming)
80 HTTP (Web)
88 Kerberos (computer authentication protocol)
110 POP3 (Client access)
119 NNTP (Usenet newsgroups)
123 NTP (Network time)
137-139 NetBIOS (DOS/Windows naming)
143 IMAP (Client access)
161,162 SNMP (Network management)
163,164 CMIP (Network management)
443 HTTPS (Web secure)
514 Syslog (Event logging)
563 NNTPS (Usenet newsgroups secure)
993/tcp IMAP4 over SSL, Internet Message Access Protocol
995/tcp POP3 over SSL, Post Office Protocol
989,990 FTPS (File transfer secure)
1723 Virtual private network (VPN)

[ Voor 77% gewijzigd door Anoniem: 2938 op 08-08-2007 12:28 ]


Acties:
  • 0 Henk 'm!

  • Flydude
  • Registratie: Mei 2003
  • Laatst online: 28-06 15:36

Flydude

Mighty pirate

Topicstarter
In dit geval: IPSEC, hoewel we ook PPTP gebruiken (en daar heb je meen ik poort 1723 voor nodig).

En andere oplossingen kennen we (en gebruiken we) ook wel. Maar sommige klanten staan alleen VPN toe, dus dan hebben we niet zoveel keuze.

I am rubber, you are glue


Acties:
  • 0 Henk 'm!

Anoniem: 2938

Flydude schreef op woensdag 08 augustus 2007 @ 12:29:
In dit geval: IPSEC, hoewel we ook PPTP gebruiken (en daar heb je meen ik poort 1723 voor nodig).

En andere oplossingen kennen we (en gebruiken we) ook wel. Maar sommige klanten staan alleen VPN toe, dus dan hebben we niet zoveel keuze.
Oke kende je toevallig ook www.logmein.com. Dat is echt ideaal voor de "dummy" gebruiker en als je geen gedoe wilt hebben met vpn instellingen e.d. Het is ook goed beveiligd trouwens...

Hier default overzicht voor de poorten
Port Type of VPN

UDP 500 Ipsec
TCP 1723 PPTP/L2TP
TCP 443 SSL

Table 1. Default ports and VPN type.

[ Voor 7% gewijzigd door Anoniem: 2938 op 08-08-2007 12:38 ]


Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 28-06 09:50

TrailBlazer

Karnemelk FTW

UDP port 500 is ISAKMP en onderdeel van de IPSec
ESP is het protocol waarin de IP paketten worden geencapsuleerd en is ook een onderdeel van IPSec.
ESP vind plaatst op hetzelfde lvl als TCP en UDP

Acties:
  • 0 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 21:27

Equator

Crew Council

#whisky #barista

L2TP is tcp 1701 overigens.

Maar goed, dit lijkt me toch redelijk zoekwerk.

Met Ehterreal kan je toch precies zien welke poorten jij naar buiten toe gebruikt??

[ Voor 35% gewijzigd door Equator op 08-08-2007 13:08 ]


Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 28-06 09:50

TrailBlazer

Karnemelk FTW

Equator schreef op woensdag 08 augustus 2007 @ 13:07:
L2TP is tcp 1701 overigens.

Maar goed, dit lijkt me toch redelijk zoekwerk.

Met Ehterreal kan je toch precies zien welke poorten jij naar buiten toe gebruikt??
en anders in de log van de firewall gewoon je drops bekijken.

Acties:
  • 0 Henk 'm!

  • Flydude
  • Registratie: Mei 2003
  • Laatst online: 28-06 15:36

Flydude

Mighty pirate

Topicstarter
Equator schreef op woensdag 08 augustus 2007 @ 13:07:

Met Ehterreal kan je toch precies zien welke poorten jij naar buiten toe gebruikt??
Yep, maar ik vroeg me af of hier een 'standaard' voor bestaat. Blijkbaar niet, dus moeten we inderdaad per klant Ethereal aanzwengelen. Het is niet anders.

I am rubber, you are glue


Acties:
  • 0 Henk 'm!

  • wallywally
  • Registratie: Maart 2004
  • Laatst online: 20-03 22:06
Protocol 50 en 51 moeten open staan.

Poort 500UDP.

Thats it, voor IPSEC.

Acties:
  • 0 Henk 'm!

  • Flydude
  • Registratie: Mei 2003
  • Laatst online: 28-06 15:36

Flydude

Mighty pirate

Topicstarter
wallywally schreef op woensdag 08 augustus 2007 @ 13:59:
Protocol 50 en 51 moeten open staan.

Poort 500UDP.

Thats it, voor IPSEC.
Dank voor je info. Maar waarom zie ik dan UDP poort 4500 voorbijkomen bij een ipsec sessie?

I am rubber, you are glue


Acties:
  • 0 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 21:27

Equator

Crew Council

#whisky #barista

Protocol 50/51 zijn protocol nummers, geen tcp/udp poorten.. Dat is dus appels met peren vergelijken. ;)
Flydude schreef op woensdag 08 augustus 2007 @ 13:26:
[...]
Yep, maar ik vroeg me af of hier een 'standaard' voor bestaat. Blijkbaar niet, dus moeten we inderdaad per klant Ethereal aanzwengelen. Het is niet anders.
TJa, in weze zijn er standaard poorten voor.
PPTP gebruikt standaard TCP 1723
L2TP gebruikt standaard TCP 1701
IPSec gebruikt standaard UPD 500 & UDP 4500 (NAT traversal)

Sommige VPN protocollen gebruiken echter nog een ander Protocol nummer..
Zie: http://www.microsoft.com/...fc_por_nxkb.mspx?mfr=true

Acties:
  • 0 Henk 'm!

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 28-06 09:50

TrailBlazer

Karnemelk FTW

maar zoek gewoon bij google naar
well known udp/tcp port en je poortnummer komt die zo naar boven rollen.

Acties:
  • 0 Henk 'm!

  • wallywally
  • Registratie: Maart 2004
  • Laatst online: 20-03 22:06
Flydude schreef op woensdag 08 augustus 2007 @ 14:14:
[...]


Dank voor je info. Maar waarom zie ik dan UDP poort 4500 voorbijkomen bij een ipsec sessie?
Dan zit je waarschijnlijk niet op een publiek IPadres met je VPN server?

Acties:
  • 0 Henk 'm!

  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 27-06 15:56
wallywally schreef op woensdag 08 augustus 2007 @ 16:04:
[...]


Dan zit je waarschijnlijk niet op een publiek IPadres met je VPN server?
Of met je client.
IPSEC verkeer maakt gebruik van het ESP protocol. Helaas kun je geen NAT toepassen op dit protocol en dus kun je het niet gebruiken vanachter een proxy of firewall o.i.d. De standaard oplossing hiervoor heet NAT-Traversal en houdt in dat het ESP pakket ingepakt (Encapsulated) wordt in een UDP pakket of een TCP pakket. Bij UDP wordt hiervoor vrijwel altijd UDP poort 4500 gebruikt en cisco gebruikt voor TCP encapsulation idd tcp poort 10000.

UDP Poort 500 is zoals gezegd nodig voor ISAKMP (negotation van de phase 1 en phase 2 parameters van de tunnel, waaronder de keys die vaak het IKE protocol verstuurd worden)

[ Voor 3% gewijzigd door bazkar op 08-08-2007 16:45 ]

Pagina: 1