Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6242 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Used port/protocol for VPN?

Andi_A
Sorry for the (maybe) silly question:
Which ports/protocols are used on each stage of a VPN connection?
Here a littele bit of explanation:
We have a ASL4.021 running behind a security router (Borderguard). This device is old but running very well. Only the manufacturer no longer exists  [:(] 
After configuring VPN on the ASL and the Astaro VPN Client on a remote computer I can't get a connection. The diagnose fails in the phase "Certificate exchange". When I connect the client behind the router everything runs smoothly.
I tried to modify the filter rules on the router but I don't know exactly which ports and protocols are used.
These are the facts I found and implemented to the filters:
UDP with Ports 50,51,500
One alarm is caused by TCP port 500 (Is this really needed?)
Is there any doc outthere about this issue?
Thanks for any hints.

Andi


This thread was automatically locked due to age.
Parents
  • 0
    It would be important to know if your router/firewall does NAT...
    I think we are talking about a firewall since it does at least some packetfiltering. 
    I suppose you try to connect via plain IPsec and there is no NAT involved: For the IKE-key-exchange-protocol you need to
    open up UDP, port 500. The problem begins with the IPsec-protocols AH (IP Protocol 50) and ESP (IP Protocol 51) because they dont rely on TCP/UDP and dont use ports. So your firewall must be aware of these protocols (linux with netfilter/iptables is able to do it for example) and you have to set rules for allowing them.
    If your firewall/router does NAT you should use NAT-Traversal.
  • 0 in reply to equilibrium
    The router runs in transparent mode. So I will try the filter:
    fw_vpn
         not udp_sp in (500) break;
         not udp_dp in (500) break;
         not ip_protocol in (50,51) break;
    end;
    I think this should work

    Andi
  • 0 in reply to Andi_A
    It didn't work  [:(]
    Are there any other hints?
    Regards

    Andi
Reply Children
  • 0 in reply to Andi_A
    Hi,

    is your router/firewall doing NAT?
    And please post some logs from the ASL...
  • 0 in reply to equilibrium
    The prob isn't related to the ASL.
    The Router is running in transparent packet filtering mode.
    If I define a firewall rule with allowing all traffic from the client to the ASL VPN is running smoothly.
    The router logs one UDP connection I can't understand:
    ---------
    NetSentry bridging alarm, filter = ANDI_TEST, proto =   udp,
    ip_src = ASL_IP, src = ASL_ETH1_MAC, 
    ip_dst = VPN_Client_IP, dst = VPN_Client_MAC
    It happens when exchanging the certificates.
    I just asked here in the hope of getting some information about the protocols which are used for VPN connections.
    Now I will connect a sniffer to the network an try to find out the pakets.
    Regards

    Andi
  • 0 in reply to Andi_A
    For a normal IPsec-connection you just need
    to open UDP 500 (IKE), and IP protocol 50 (ESP) and IP protocol 51 (AH).
    But if your router/firewall is doing NAT and NAT-Traversal on the client and the ASL is enabled, then IKE negotiation switches from UDP port 500 to port 4500. So in this case you need to open port 4500 too. BY the way, what do you mean with transparent packet-filtering-mode? I have never heard it before, and to me it makes no sense...
    Jan
Cookie Information Banner