PrepBro
← Назад к вопросам

Порты какого протокола нужно открывать, если у тебя VPN

2.0 Middle🔥 201 комментариев
#Сети и протоколы

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Открытие портов для VPN: протоколы и конфигурации

При настройке VPN-сервера выбор открываемых портов напрямую зависит от используемого VPN-протокола. Каждый протокол имеет стандартные порты, но их можно изменять при необходимости (с учётом ограничений клиентов и фаерволов). Ниже приведены основные протоколы и соответствующие порты.

Основные VPN-протоколы и их порты

1. OpenVPN

Самый популярный и гибкий протокол, использующий TLS/SSL. Работает как по TCP, так и по UDP.

  • Стандартный порт UDP: 1194 (исторически сложившийся стандарт).
  • Стандартный порт TCP: 1194 (часто используется для обхода ограничений, где UDP блокируется).
  • Рекомендуемая практика: Использовать UDP 1194 для производительности, но также открыть TCP 443 (HTTPS) для маскировки трафика в строгих сетях.

Пример правила iptables для OpenVPN (UDP 1194):

# Разрешить входящие подключения по UDP 1194
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
# Для TCP (если используется)
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

2. WireGuard

Современный, высокопроизводительный протокол, работающий исключительно по UDP.

  • Стандартный порт UDP: 51820 (рекомендуется по умолчанию, но можно выбрать любой).
  • Особенность: WireGuard использует только один UDP-порт для всех клиентов, что упрощает настройку фаервола.

Пример правила ufw для WireGuard:

# Разрешить порт 51820/udp
ufw allow 51820/udp

3. IPsec (Internet Protocol Security)

Комплексный протокол для защиты IP-соединений. Использует несколько компонентов:

  • IKE (Internet Key Exchange): Для установки безопасного канала. Порт UDP 500 для начального обмена ключами. Также UDP 4500 для обхода NAT (NAT-Traversal).
  • ESP (Encapsulating Security Payload): Протокол инкапсуляции, не использует порты (работает на уровне IP, протокол №50).
  • AH (Authentication Header): Протокол аутентификации, протокол №51 (редко используется).

Пример открытия портов для IPsec:

# IKE
iptables -A INPUT -p udp --dport 500 -j ACCEPT
# NAT-Traversal
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
# Разрешить протокол ESP (IP протокол 50)
iptables -A INPUT -p 50 -j ACCEPT

4. L2TP/IPsec (Layer 2 Tunneling Protocol)

Часто используется в связке с IPsec для шифрования. Требует открытия:

  • UDP порт 500 (IKE).
  • UDP порт 4500 (NAT-T).
  • UDP порт 1701 (для L2TP трафика, но обычно инкапсулируется в IPsec).

5. SSTP (Secure Socket Tunneling Protocol)

Протокол от Microsoft, использующий SSL/TLS, похож на HTTPS.

  • Стандартный порт TCP: 443 (совпадает с HTTPS, что упрощает обход фаерволов).

6. PPTP (устаревший, не рекомендуется)

  • TCP порт 1723 для управления туннелем.
  • Протокол GRE (IP протокол 47) для передачи данных.

Ключевые рекомендации по настройке

  1. Безопасность:

    • Ограничьте доступ к VPN-портам только с доверенных IP (например, через iptables -s).
    • Используйте fail2ban для блокировки подозрительных попыток подключения.
    • Регулярно обновляйте ПО (особенно для OpenVPN и WireGuard).

  2. Производительность и совместимость:

    • UDP обычно быстрее из-за меньших накладных расходов (предпочтителен для OpenVPN и WireGuard).
    • TCP может быть полезен в сетях с блокировкой UDP или нестабильным соединением (но избегайте "TCP поверх TCP" для OpenVPN, если возможно).

  3. Обход ограничений:

    • Использование порта TCP 443 (как у HTTPS) помогает маскировать VPN-трафик в публичных сетях.
    • WireGuard и OpenVPN поддерживают obfuscation (затемнение трафика) через дополнительные плагины.

  4. Пример комплексной настройки фаервола для OpenVPN:

# Разрешить SSH (для управления)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Разрешить OpenVPN (UDP и TCP)
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
# Включить форвардинг и NAT для VPN-клиентов
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Заключение

Выбор портов зависит от VPN-протокола, требований безопасности и сетевого окружения. Для большинства современных развёртываний я рекомендую:

  • WireGuard (UDP 51820) для простоты и скорости.
  • OpenVPN (UDP 1194 или TCP 443) для максимальной гибкости и совместимости.
  • Обязательно настраивайте фаервол и мониторинг для предотвращения несанкционированного доступа. Всегда проверяйте, что открыты только необходимые порты, используя инструменты вроде nmap или netstat.