Avatar billede wip13 Nybegynder
17. februar 2003 - 04:15 Der er 18 kommentarer og
1 løsning

VPN-porte?

Jeg er udsendt fra Danionics og sidder pt i Taiwan. Jeg har problemer med at bruge VPN, da det hotel, jeg bor på, har en firewall/gateway/router (det ved de vidst ikke en gang selv), som ikke tillader ret meget andet end plain http. Jeg har forsøgt at få dem til at åbne for VPN, men da hverken de eller jeg ved hvilke porte, det drejer sig om, har det ikke kunnet lade sig gøre.
Jeg har kontaktet it-afdelingen hos Danionics for at få deres hjælp. Det eneste de kunne oplyse var, at vi bruger Cisco's VPN dialer version 3.1.1, at firewall'en ved Danionics i Odense er en  Cisco PIX515.
Bruger VPN standart porte, eller er det forskelligt fra firma til firma hvad man vælger at config'e den til? Og hvilket porte er det der skal åbnes for?

Hvis der er en der kan give en hurtig beskrivelse på engelsk som jeg bare kan smide efter hotellet, vil jeg da lige skovle lidt flere point efter vedkomne
Avatar billede kenp Novice
17. februar 2003 - 08:40 #1
prøv at kigge her der står noget (på dansk)
http://www.svein.dk/Windows2000/Tips/Well_known_ip_ports_in_win2k.asp
Avatar billede venturer Nybegynder
17. februar 2003 - 10:36 #2
The most commonly used protocol for VPN tunnels is PPTP. This protocol uses TCP1723 as it's default destination port.
To allow your visitors to use this type of VPN tunnel you need to allow ANY outgoing address+port (source) to connect to TCP 1723 (destination).

Ovenstående ville være mit umiddelbare forslag.
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 11:12 #3
Forkert... Cisco VPN bruger ikke PPTP, men derimod IPSec.

Portene der bruges som standard er UDP port 500 og UDP port 10000 (UDP port 500 er kontroldata, og port 10000 er data). Disse porte er gældende, hvis ikke dit firma har ændret dem (det gør man typisk ikke). Derfor skal du blot sige til hotellet "Please open outgoing and incoming UDP ports 500 and 10000. Thank you very much".

Hvis ikke det virker, så kan du bede Danionics IT support om at opgradere Cisco VPN Concentratoren (hvis der er sådan en de bruger), minimum til version 3.5.x samt gøre det samme med din VPN klient. Denne opgradering vil gøre det muligt at køre VPN tunnellen over TCP port 80 (dvs. http).

Håber det lykkedes.
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 11:13 #4
Laver det lige til et svar
Avatar billede venturer Nybegynder
17. februar 2003 - 11:17 #5
Det er da ikke forkert at PPTP ER den mest udbredte protocol til VPN.
Hvis cicso KUN benytter IPSec (jeg antager at de benyttet L2TP) har de da et problem hvis brugeren sidder bag en NAT (og det kan jeg forestille mig at de gør på et hotel).
Avatar billede wip13 Nybegynder
17. februar 2003 - 11:26 #6
det er præcist problemet...men Danionics firewall bliver først opdateret om en måned, og det er lidt lang tid at vente.

mfpoulsen, jeg tager dit bud med ned og finder en der engelsk!
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 11:28 #7
venturer,

Det er muligt at PPTP er den mest udbredte VPN protokol - men dit svar er irrelevant (derfor min kommentar at det var forkert).

Cisco benytter IPSec som standard, og de har ikke problemer med NAT sålænge tunnellen termineres på en Concentrator. Se Cisco's hjemmeside for mere info. Hvis du har flere kommentarer til mit svar, så overbring dem venligst på mlpn@hotmail.com, så de ikke forstyrrer spørgsmålsgiveren...
Avatar billede wip13 Nybegynder
17. februar 2003 - 11:29 #8
næ, snak gerne her, da det jo ikke kan skade med lidt info/synspunkter
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 11:32 #9
wip13,

Okay, hvis ikke du har noget imod det, så tager jeg gerne imod flere spørgsmål om emnet her - hvis der er nogle.
Avatar billede wip13 Nybegynder
17. februar 2003 - 11:35 #10
vel, et: hvordan siger man det på kinesisk ;)

...de fatter ikke ret meget engelsk heromkring....ellers har jeg din mail der, og jeg skal nok spørge hvis der kommer noget op!
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 11:39 #11
Heheh,

Du kan vel lynhurtigt lave en præsentation med et fancy netværksdiagram der viser en brændende mur, og en brandmand på indersiden og ydersiden der banker hul i muren lige præcis hvor skriften UDP/500 og UDP/10000 står... Tror du ikke de forstår den :-)
Avatar billede wip13 Nybegynder
17. februar 2003 - 11:40 #12
lol ...egentligt en god ide :;D
Avatar billede venturer Nybegynder
17. februar 2003 - 11:47 #13
Kinesisk... Hmmm....

Anyways poulsen: det kan godt være at der står en koncentrator i den ene ende som kan køre Ipsec videre ud i verdenen. Men det hjælper ikke meget hvis brugeren i den anden ende sidder bag en NAT (på hotellet f.eks.) Så skal de jo OGSÅ have et termineringspunkt stående.
Umiddelbart har vi ikke fået noget at vide om hvilket udstyr der står på hotellet. Dérfor holder jeg mig til PPTP.
Avatar billede wip13 Nybegynder
17. februar 2003 - 11:51 #14
well, jeg ved det heller ikke...det gør de heller ikke selv. Mit bud er at der står en proxy/gateway/firewall...alle LAN-clienter får samme WAN IP, og det er det eneste jeg kan finde ud af :/
Avatar billede venturer Nybegynder
17. februar 2003 - 11:57 #15
I så fald kan jeg heller ikke se det muligt at køre IPSec direkte fra din maskine til andre maskiner på nettet. Jeg tager muligvis fejl, men i det her tilfælde er jeg rimligt sikker.
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 12:03 #16
venturer,

Jeg kan sagtens følge din tankegang. Grunden til at det er fløjtende ligegyldigt om hotellets firewall kører NAT eller ej, er fordi Ciscos implementering af NAT er understøttet i IPSec. Med andre ord, så bliver hverken source eller destination address feltet i pakkerne krypterede, og kan derfor ændres (det er NAT processen) uden at pakken bliver korrupt.

Alt er dog relativt - hvis de eksempelvis i opsætningen har valgt AH istedet for SHA, så bliver source address feltet også krypteret, og NAT er dermed ikke understøttet... Men den slags gør man KUN hvis man ved hvad man laver, og det lyder jo ikke umiddelbart som om IT afdelingen har lavet noget af den slags.

Forklarede det det hele lidt bedre ? Ellers lad mig vide det, og så skal jeg nok forklare yderligere. Som jeg tidligere sagde, så kan jeg uden problemer se hvorfor du hælder til PPTP, og det kan da også (alt afhængigt af behov) være det bedste at køre. Men når du vælger Cisco, så vælger du som udgangspunkt også IPSec (som i øvrigt er den mest sikre og fleksible af alle protokollerne, i min mening)...

Det er muligt i dette tilfælde at køre IPSec direkte fra Wip13's PC til firmanettet. Jeg har arbejdet med det i 2 år (som teknisk konsulent), så jeg ved af masser af erfaringer at det kan lade sig gøre...
Avatar billede venturer Nybegynder
17. februar 2003 - 12:09 #17
Vi er helt enige om at IPSec er det sikreste. Dér skal der ikke herske nogen tvivl.
Nyheden for mig er at der er flere udgaver af IPsec (jeg arbejder selv i Windows verdnen og deres udgave af IPSec).
Du skriver at Ciscos implementering af NAT er understøttet i IPSec. Jeg forstår dig hvis du mener at Ciscos implementering af IPSec understøtter NAT, da Cisco jo ikke har "styr" over andres NAT. Det ligner en tyrkfejl, men jeg vil godt lige være sikker.
Ellers jeg er helt med på hvad du skriver, og jeg bøjer mig for overmagten.
Avatar billede mfpoulsen Nybegynder
17. februar 2003 - 12:14 #18
venturer,

Jeg sad lige selv og læste det igennem igen... Og det er bestemt en tyrkfejl :-( sorry about that... Det er Ciscos implementering af IPSec der understøtter NAT.

Du skal bestemt ikke "bøje dig for overmagten"... Det bedste er nu engang en god teknisk diskution, og sparring. Så har vi jo forhåbentlig lært noget begge to...

Men vi snakkes nok ved næste gang en har et VPN problem ;-)
Avatar billede wip13 Nybegynder
17. februar 2003 - 12:17 #19
Så har vi jo forhåbentlig lært noget begge to...
...make that three
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester