Инкапсулирует ли IPsec-туннель брандмауэра Windows Server 2008 R2 данные в один порт?

Сегодня у меня такая установка:

Все мои серверы расположены в Интернете, они защищены брандмауэром Windows и Advanced Secutiry с использованием IPSec с сертификатом. Он включает контроллеры домена.
Все клиентские компьютеры имеют объект групповой политики и соответствующий сертификат для использования серверов.

В общем, это почти идеально, есть еще одна вещь, которая не работает, некоторые интернет-провайдеры блокируют некоторые коммуникационные порты (например, 135), что создает проблемы, когда клиент подключается через них.

Я не хочу полагаться на настройку VPN, потому что все мои серверы имеют IP-адреса в Интернете, так зачем мне это делать?

Похоже, туннель IPSec может быть подходящим вариантом. Насколько я понимаю (мне трудно найти документацию об этом событии в MSDN), я могу настроить туннель с клиентом, выступающим в качестве шлюза, и настроить удаленный шлюз на выделенном сервере.

РЕДАКТИРОВАТЬ

Реальный вопрос: будет ли туннельная связь инкапсулирована в один заданный порт UDP / TCP, а не каждый запрошенный напрямую перенаправляется?

Например, если клиент пытается связаться с портом 135 одного из моих контроллеров домена, будет ли он передан через порт 135 в интернет-проводе или туннелирован в один уникальный / предопределенный порт (например, 443), который имеет лучше шансы быть открытыми. То же самое касается любого другого порта, с которым клиент пытается связаться, все они инкапсулированы в 443.

Надеюсь, так понятнее, честно говоря, хотя это уже было впервые! :)

Спасибо

Поскольку вы изменили свой вопрос, то да.

Это действительно зависит от того,

Если клиенты устанавливают VPN-туннель через устройство NAT где-то в своей локальной сети, через которое они выходят наружу, тогда IPSec выполняется через NAT-T, где весь трафик IPSec инкапсулируется в дейтаграммы UDP, используя порт 4500. Так что да, все коммуникации, проходящие через туннель, будут быть более 4500 порта UDP.

IPsec через TCP работает с клиентами удаленного доступа. Это только клиентская функция устройства безопасности. Это не работает для соединений LAN-to-LAN. По умолчанию используется порт TCP 10000. Вы также можете настроить и изменить его на что-то нестандартное (очевидно, не 80 или 443). Таким образом, весь трафик IPSec будет проходить через этот порт 10000.

Трафик L2TP / IPSec выглядит так же, как трафик IPSec на проводе. Брандмауэр просто должен разрешить IKE (UDP 500)

Может возникнуть необходимость разрешить трафик Kerberos через брандмауэр, в этом случае необходимо будет перенаправить UDP-порт 88 и TCP-порт 88.

Надеюсь это поможет. Первоначальный вопрос был действительно неясным.