Windows Server 2008 R2 防火牆 ipsec 隧道是否將數據封裝在一個埠中?
今天我有以下設置:
- 我所有的伺服器都位於網際網路上,它們受 Windows 防火牆和高級安全保護,使用帶有證書的 IPSec。它包括域控制器。
- 所有客戶端電腦都有一個 GPO 和相應的證書來使用伺服器。
總而言之,幾乎是完美的,還有一點是行不通的,一些網際網路服務提供商阻塞了一些通信埠(例如135),這在客戶端通過它們連接時會產生麻煩。
我不想依賴 VPN 設置,因為我所有的伺服器都有 Internet IP,我為什麼要這樣做?
看起來IPSec隧道可能是要走的路。據我了解(我很難在 MSDN 上找到有關此事件的文件)我可以設置一個隧道,客戶端充當網關,並在專用伺服器中設置遠端網關。
編輯
真正的問題是:隧道通信是否會被封裝到一個給定的 UDP/TCP 埠中,而不是直接轉發每個請求?
例如,如果客戶端嘗試聯繫我的域控制器之一的埠 135,它是通過網際網路線路中的埠 135 傳輸還是通過隧道傳輸到一個唯一/預定義的埠(例如 443)有更好的機會被打開。客戶端嘗試聯繫的任何其他埠也是如此,全部封裝在 443 中。
我希望這樣更清楚,老實說,雖然這已經是第一次了!:)
謝謝
既然你修改了你的問題,那麼是的。
這真的取決於,
如果客戶端通過其 LAN 上某處的 NAT 設備建立 VPN 隧道,然後通過 NAT-T 完成 IPSec,其中所有 IPSec 流量都使用埠 4500 封裝在 UDP 數據報中。所以是的,所有通過隧道的通信都會超過 4500 UDP 埠。
IPsec over TCP 與遠端訪問客戶端一起工作。它只是安全設備功能的客戶端。它不適用於 LAN 到 LAN 連接。預設情況下使用 TCP 10000 埠。您也可以將其配置並更改為非標準的東西(顯然不是 80 或 443)。因此所有 IPSec 流量都將通過該 10000 埠。
L2TP/IPSec 流量看起來就像網路上的 IPSec 流量。防火牆只需要允許 IKE (UDP 500)
可能需要允許 Kerberos 流量通過防火牆,如果允許,則還需要轉發 UDP 埠 88 和 TCP 埠 88。
希望這可以幫助。原來的問題真的不清楚。