JS
udp/1701 у тебя образуется после декапсуляции из ipsec. а до декапсуляции это будет собственно ipsec (вероятнее всего esp)
Size: a a a
2020 April 03
JS
ну, то есть, формально-то да, тебе нужны три вида правил - udp/500, udp/1701 и ipsec
JS
плюс есть еще NAT-T инкапсуляция, когда ipsec инкапсулируется в udp/4500
JS
и это четвертое правило
JS
касается твоего вопроса "зачем mpd знать свой IP"
JS
тут дело в том что l2tp это очень и очень развесистый протокол, ftp по сравнению с ним это просто детский лепет
JS
l2tp может инкапсулировать огромное семейство протоколов, в нашем контексте он будет инкапсулировать ppp, но это только 2% от того что он может
PG
ну, то есть, формально-то да, тебе нужны три вида правил - udp/500, udp/1701 и ipsec
меня в первую голову интересует, чтобы наружи был один-единственный udp-порт - или с l2tp так не выгорит?
JS
у него есть понятия LNS/LAC, они могут стоять отдельно от источников самого инкапсулируемого трафика, и вот благодаря всей этой чешуе и нужно ему знать на каком ip он сидит
JS
если ты без ipsec будешь делать, что вполне возможно и будет работать на mpd - то да, будет udp/1701 снаружи
JS
но в винде придётся патчить реестр, а iphone/driods работать так вообще не будут
JS
тебе вероятно нужно чтобы он просто ходил через НАТы клиентские, в этом случае тебе надо сделать вариант с NAT-T, это udp/4500, но ему также нужен ISAKMP, то есть одним портом в случае когда ты хочешь чтобы у тебя клиенты не рвали на жопе волосы, настраивая это всё, ты не обойдёшься
PG
то есть я правильно понимаю, что айфон/андроид будут без проблем работать через l2tp, если через сеть ходят 1701/udp и 500/udp?
PG
бля.
PG
я пару раз попадал на странных провайдеров, у которых 500 было закрыто, и вообще было закрыто все, кроме 80 и 443, я почему и упираю на единственный порт
JS
опять не совсем. iphone/andriod будут без проблем работать если в сети ходят udp/500 и udp/4500
JS
я не встречал провайдеров у которых это закрыто
PG
ну в общем на одном порту никак не отъедешь, да?
JS
если в сети работают только tcp/80 и tcp/443 то вариантов кроме TLS VPN нет, а это все проприетарные решения. даже не линукс.
JS
боюсь что нет.