常见VPN协议及默认端口
PPTP (不推荐,安全性低)
- 端口: TCP 1723
- GRE协议: IP协议号47(需允许IP层协议,非端口)
- 用途: 早期VPN协议,因安全性问题已逐渐淘汰。
L2TP/IPSec
- 端口:
- UDP 500(IKE密钥交换)
- UDP 4500(NAT穿透)
- UDP 1701(L2TP流量,但实际通常被IPSec封装)
- 用途: 结合L2TP和IPSec加密,比PPTP更安全。
OpenVPN
- 默认端口:
- UDP 1194(官方推荐,性能最佳)
- 可自定义为任意端口(如TCP/UDP 443伪装HTTPS流量)
- 协议: UDP(推荐)或TCP(稳定性优先但延迟更高)。
- 用途: 开源、高灵活性,支持强加密。
IPSec/IKEv2
- 端口:
- UDP 500(初始密钥交换)
- UDP 4500(NAT-Traversal)
- 用途: 现代协议,适合移动设备(如iOS/Android原生支持)。
SSTP
- 端口: TCP 443(与HTTPS相同,难以被防火墙拦截)
- 用途: 微软开发,适合Windows环境。
WireGuard
- 默认端口: UDP 51820(可自定义)
- 用途: 高性能、轻量级,现代VPN首选。
端口选择建议
- 绕过防火墙: 使用TCP 443(如OpenVPN或SSTP),因其与HTTPS流量相似。
- 性能优先: 选择UDP协议(如OpenVPN UDP 1194或WireGuard)。
- 安全性: 避免PPTP,优先选择OpenVPN、IPSec或WireGuard。
配置注意事项
- 防火墙/NAT: 确保在路由器或服务器防火墙中放行对应端口。
- 端口转发: 若服务器在NAT后,需在路由器上设置端口转发。
- 协议兼容性: 客户端/设备需支持所选协议(如iOS原生支持IKEv2)。
示例命令(OpenVPN服务器配置)
port 1194 # 默认UDP端口 proto udp # 或改为proto tcp
若使用WireGuard:
[Interface] ListenPort = 51820
安全性增强
- 更改默认端口: 减少自动化攻击风险(如将OpenVPN改为TCP 443)。
- 防火墙规则: 仅允许可信IP访问VPN端口。
- 证书/密钥认证: 禁用弱密码,使用TLS加密。
如需进一步帮助(如具体协议配置),请提供您的使用场景(如企业VPN、家庭翻墙等)。
