Avoimet portit

En ole löytänyt mistään voimassaolevaa listaa DNA-liittymien avoimista porteista. Vaihdettuani mobiililiittymän DNA:n, IPSEC-yhteys kiinteän DNA-laajakaistaliittymän ja DNA-mobiililiittymän välillä lakkasi toimimasta. Nyt vaikuttaa siltä että vikaa on haettava mobiililiittymän puolelta, koska se on ainoa muuttunut komponentti. APN=julkinen.dna.fi

https://www.itprotoday.com/strategy/q-what-firewall-ports-should-we-open-make-ipsec-work-through-our-firewalls

Kommentit

  • Sallitut portit
    NAT-osoitteenmuunnosta IPv4 puolella käyttävillä liittymillä voidaan käyttää sovelluksia, jotka avaavat itse yhteyden Internetissä sijaitsevaan palvelimeen päin (esimerkiksi: http(s), telnet, ssh, irc, ftp).

    Julkisia IPv4- ja IPv6-osoitteita käytettäessä liikennettä rajoitetaan seuraavasti:
    (Huom. myös NAT-liittymissä IPv6 on julkinen)

    Estetyt TCP-portit (IPv4):

    • 25 UL (Katso tarkennus alta)
    • 1-499 DL
    • 501-1023 DL
    • 7547 UL/DL
    Estetyt UDP-portit (IPv4):

    • 1-122 DL
    • 124-258 DL
    • 260-499 DL
    • 501-1023 DL
    • 1900 DL
    Estetyt portit (IPv6):

    • 25 UL (TCP) (Katso tarkennus alta)
    • 53 DL (UDP)
    • 1900 DL (UDP)
    • 7547 UL/DL (TCP)
    Ebinwrz
  • RUT-950 reitittimeni palomuuri avaa UDP-portit 500,1194 ja 4500 ipsec-vpn-yhteyttä varten. Skannasin ko. portit ja portti 1194 näyttäisi olevan suljettu molemmissa liittymissä. Tämä saattaisi olla syynä siihen ettei yhteyttä kyetä muodostamaan.




    Sakari
  • Liikkuvan laajakaistan estetyistä porteista voi lukea tältä sivulta: https://www.dna.fi/tuki-netti#kayttoonotto.Tällä sivulla on siis tuo sama tieto jonka sait jo Ebinwrz:ltä

    Koska linkistä huolimatta sivulta voi olla vaikea löytää oikeaa kohtaa, paljastan että se on "IP-osoitteet ja sallitut portit". Harmi että asiakaspalvelu ei löytänyt tätä tietoa sinulle. :-D

    IPSec vaatii yleensä toimiakseen portin 50, joka ollut jo pitkään estetty liikkuvista laajakaistoista. Portti 1194 on yleensä käytössä vain OpenVPN yhteyksissä.

    Oletko kokeillut yhdistää VPN:ää IPv6:n yli?
    AP
  • DNA on saattanut mobiilissa estää sen portin mitä VPN:si käyttää.

    DNA:lla on kilpailevia operaattoreita tiukemmat porttirajoitukset liikkuvan laajakastan IPv4-verkossa. IPv6-verkossa ei juurikaan ole rajoituksia, ja kaikki osoitteetkin ovat näppärästi julkisia.

    Jos sinun ei ole mahdollista muodostaa yhteyttä käyttäen IPv6:ta, täytyy sinun kuunnella porttia jota DNA ei ole estänyt. OpenVPN:n porttia 1194/udp, eikä IPSec-NT:n porttia 500/udp ole estetty mutta IPSecin paljas ESP-paketti (portti 50) varmaan on. En valitettavasti pääse nyt itse kokeilemaan tätä. En ole koskaan kuullut että IPSec olisi portissa 1194.

    Kannattaa varmasti tarkistaa UDP porttien todellinen tila netcat (nc tai joskus ncat) komennolla. Näin voit sulkea pois ongelman liikkuvassa laajakaistassa tai osoittaa sen. Nmapista ei voi saada luotettavaa tietoa porttien tilasta UDP:n luonteen vuoksi.

    Palvelimella example.com ajetaan:
    # nc -ul 500

    Sitten asiakkaalla ajetaan:
    $ nc -u example.com 500

    Nyt voit yrittää kirjoittaa näihin konsoleihin, tiedon pitäisi liikkua rivinvaihdosta. Ctrl + C sulkee nc:n.

    Apua netcatin käyttöön löytyy englanninkielisestä artikkelista. Ja Hak5:n ​videolta.
    ​​​

    AP
  • Sen verran olen päässyt eteenpäin, että IPSEC vaatii toimiakseen nuo UDP-portit 500 ja 4500, jotka ovat auki. Sen sijaan porttia 50 ei tarvita, vaan ptotokollat 50 (ESP)  ja 51 (AH) tulee sallia IPv4-paketteissa. En kyllä tiedä miten tuon testaisin.

    https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
    Sakari

Kommentoi tai kirjoita uusi viesti

Nimesi ja viestisi näytetään julkisesti.Sähköpostiosoitettasi ei koskaan näytetä julkisesti.