Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 12581 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ports required for VPN

nospamsam
InternalASLInternetProxy/FirewallInternal(Home)


In this scenario, what ports do I need to open on the Proxy/Firewall, to enable VPN to work?

thank you,


This thread was automatically locked due to age.
  • 0
    I could really use some help here.

    I can get every part to work except the Proxy/Firewall. I need to know which ports to open to allow the VPN traffic. I have 500 open but there seems to be more.
       Company Network  |              |   Home Network
    InternalASLInternetProxy/FirewallInternal(Notebook)
  • 0 in reply to nospamsam
    This can be a long and technical solution that you are looking for.  But, it comes down to this simple question:  Does your home firewall support IPsec pass through?  This is also called NAT transparent mode for IPsec.

    This is a question that you need answered by you firewall company.  Look on their website, email their tech support, etc.

    Basically, and anybody out there please correct me if I am wrong, you need to open UDP port 500 and IP protocol 50.  The later handles the ESP encapsulation.  Now, here comes the issue with this.

    (From Cisco's Web Site)
    Protocol 50 (Encapsulating Security Payload [ESP]) handles the encrypted/encapsulated packets of IPSec. Most NAT devices don’t work with ESP since they have been programmed to work only with TCP, UDP, and ICMP. In addition, NAT devices are unable to map multiple security parameter indexes (SPIs). 

    How does NAT transparent mode work? (from Cisco)
    Activating IPSec transparent mode on the VPN Concentrator creates non-visible filter rules and applies them to the public filter. The configured port number is then passed to the VPN Client transparently when the VPN Client connects. On the inbound side, UDP inbound traffic from that port passes directly to IPSec for processing. Traffic is decrypted and decapsulated, and then routed normally. On the outbound side, IPSec encrypts, encapsulates and then applies a UDP header (if so configured). The runtime filter rules are deactivated and deleted from the appropriate filter under three conditions: when IPSec over UDP is disabled for a group, when the group is deleted, or when the last active IPSec over UDP SA on that port is deleted. Keepalives are sent to prevent a NAT device from closing the port mapping due to inactivity. 

    As you can see, this is not a simple solution.

    If your home firewall support IPsec pass through then you will be able to accomplish your goal.  If not, all you have to do is remove your home firewall and give your laptop the public IP.  Then it will not be behind your home firewall thus circumventing the issue.

    Now, I am presuming that your home firewall is NATing or masquerading your home private network.  

    Another solution would be to have a cheap Linksys router between the Internet and your home firewall.  They do support Ipsec pass through and cost under $150 US.

    I hope this helps.

    [ 26 May 2001: Message edited by: xtac ]
  • 0 in reply to xtac
    Thank you very much for the info.
  • 0 in reply to nospamsam
    Well a hardware solution is out of the question, right now. So is putting the Laptop right on the internet. The home network uses a cable modem. It is an internal USRobotics VSP Plus card and only has Win95/Win98 drivers. I have been unable to locate any other drivers for this.

    Does anyone know of a Proxy/Firewall that runs on Win95/Win98 that supports IPSec pass through?

    thanks

    [ 29 May 2001: Message edited by: sdarcy ]
Unfiltered HTML