Como configurar VPN Pass-Through
Os routers DrayTek suportam VPN Pass-Through de forma a permitir passagem de tráfego VPN para a LAN do router, por exemplo, caso tenha um servidor VPN na LAN do router DrayTek. Este artigo mostra como configurar a passagem de VPN no router DrayTek.
1 – Desactive o respectivo serviço VPN no router: Aceda ao menu “VPN and Remote Access >> Remote Access Control Setup” e desmarque o protocolo VPN que pretende encaminhar para a LAN do router:
2 – Aceder ao menu “NAT >> Open Ports” e abrir as portas necessária para o endereço IP do servidor VPN que se encontra na LAN do router DrayTek:
PPTP: TCP 1723 (o router também reencaminhará automaticamente o GRE IP47)
L2TP: UDP 1701
IPsec: UDP 500 e UDP 4500 se for utilizado NAT-T (o router também reencaminhará automáticamente o ESP IP50)
3 – Para IPsec onde utiliza autenticação PKI, é necessário activar a opção “Accept large incoming fragmented UDP or ICMP packets” no menu “Firewall >> General Setup”:
Limitações de VPN IPsec
Note que existem algumas limitações de transmissão VPN IPsec devido a incompatibilidades entre IPsec e NAT:
- IPsec com cabeçalho de autenticação (AH) não pode passar através de NAT porque o AH não permite a alteração do cabeçalho IP.
- Para passar por múltiplos túneis IPsec de saída, é necessário que tanto o cliente VPN como o servidor suportem NAT-Traversal (NAT-T). Sem NAT-T, só permite uma VPN IPsec de saída ao mesmo tempo.
- L2TP com política IPsec funciona em modo de transporte, que só permite passar por NAT se tanto o cliente VPN como o servidor suportarem NAT-T (Nota: Todos os routers DrayTek suportam NAT-T).
