L2TP-VPN で使用するポートを開放する

L2TP-VPN サーバーが通信で使用するポート

CentOS 6.0 で L2TP-VPN サーバを構築する で構築した L2TP-VPN サーバーをファイアーウォール内に設置してみました。

構成としては、BUFFALO BHR-4RV をインターネットに接続して、その LAN 側に L2TP-VPN サーバーを設置しています。

 

まず、インターネット側からの通信は、BHR-4RV のアドレス変換（静的 NAT）を使って、次のプロトコルやポートを LAN 側の L2TP-VPN に転送します。

• esp プロトコル（プロトコル番号 50）
• isakmp/UDP（ポート番号 500）
• ipsec-nat-t/UDP（ポート番号 4500）

これらをインターネットから内側の L2TP-VPN サーバーへ向けて通すとともに、L2TP-VPN サーバー上でパケットフィルターなどが有効になっている場合には、次のように、上記のものとあわせて l2tp の通信を LAN 内で可能にしておく必要があるようでした。

• esp プロトコル（プロトコル番号 50）
• isakmp/UDP（ポート番号 500）
• ipsec-nat-t/UDP（ポート番号 4500）

• l2tp/UDP（ポート番号 1701）

このような設定を行うことで、インターネット側から L2TP-VPN サーバーへ接続することが出来ました。

なお、L2TP-VPN クライアント側で NAPT（IP マスカレード）が使用されている場合には、クライアント側のルーターで esp プロトコルも NAPT する必要があるようでした。