제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

1) If RRAS based VPN server is behind a firewall (i.e. a firewall is placed between Internet and RRAS server), then following ports need to be opened (bidirectional) on this firewall to allow VPN traffic to pass through: -
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723   <- Used by PPTP control path
◦IP Protocol=GRE (value 47)   <- Used by PPTP data path

•For L2TP: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path

•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path


2) If RRAS server is directly connected to Internet, then you need to protect RRAS server from the Internet side (i.e. only allow access to the services on the public interface that isaccessible from the Internet side). This can be done using RRAS static filters or running Windows Firewall on the public interface (or the interface towards the Internet side). In this scenario following ports need to be opened (bidirectional) on RRAS box to allow VPN traffic to pass through
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723  <- Used by PPTP control path
◦IP Protocol=GRE (value 47)  <- Used by PPTP data path

•For L2TP:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50  <- Used by data path (ESP)


•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50 <- Used by data path (ESP)

방화벽 뒷단에 VPN서버를 배치하는것과 다이렉트로 DMZ 영역에 VPN서버를 배치하여 포트를 개방하는 방법입니다. 앞서 1탄에 설명을 했지만 SSTP와 IKEv2를 제외하고는 중국에서는 전부 블랙당하고 OPENVPN도 SSL을 사용한다고 해도 감지하여 블랙당하는걸 직접 테스트 하였습니다.
아이폰은 현재로서는 유일하게 IKEv2 방식을 사용할수밖에 없고 나머지 플랫폼은 전부 SSTP 클라이언트로 접속하여 VPN을 사용할수가 있습니다.
SSTP 클라이언트가 내장된 라우터 및 공유기가 현존하는 제품중 미크로틱 제품이 유일하다라고 국내에서는 트루네트워크가 총판을 담당하고 있습니다.
미크로틱 라우터도 SSTP 서버를 지원하지만 중국에서는 이마져도 감지가 되어 차단된다는걸 명심해야됩니다.
중국에서 VPN 을 차단되지 않고 원활하게 사용할수 있는 VPN을 아직까지 서비스 하지 못하여 IP만 맨날 바꾸는 업체들이 여기저기 보이고 있는게 아쉬울뿐입니다.
Windows Server의 VPN을 비웃기라도 한듯 리눅스및 어플라이언스에 의존한 결과가 아닌가 싶습니다.

2018/08/29 10:14 2018/08/29 10:14