USG FLEX 200 連接埠全部沒有開放

Frank_HK · 十月 2023

您好，朋友有買一台USG FLEX 200，收到後我幫他測試。僅僅設置PPPOE撥號，啟用L2TP VPN，設定了兩個VPN使用賬戶，沒有做其他設置。測試時都正常，用手機或其他電腦能正常使用L2TP VPN連上USG FLEX 200，但他拿回去以後，僅僅更改了設備名稱，及修改了PPPOE撥號賬戶及密碼。發現L2TP VPN無法連線上了，經測試後發現，USG FLEX 200獲得的IP地址所有的連接埠都是關閉的。無法從外部連接進來，包括8080,443連接埠都是關閉的。已經同電信運營商的技術人員排除過他們的問題，請問下是什麼原因導致的？需要修改USG FLEX 200哪部分設定呢？謝謝。

Frank_HK · 十月 2023

補充一下，固件版本為V5.37(ABUI.0) / 2023-06-30 02:30:25

Zyxel_Nat · 十月 2023

Hi Frank_HK,
你這邊指的是L2TP VPN 是L2TP over IPSEC嗎？

經測試後發現，USG FLEX 200獲得的IP地址所有的連接埠都是關閉的。無法從外部連接進來，包括8080,443連接埠都是關閉的。
»這段有點不清楚您的意思，因為若是L2TP over IPSEC 預設需要的Port並不是8080, 443。
請您提供當您的設備連不上USG FLEX 200 所提供的VPN時，防火牆上所記錄下的log，及設備連不上時有無出現錯誤資訊之截圖，謝謝

Frank_HK · 十月 2023

https://community.zyxel.com/tw/discussion/comment/57606#Comment_57606

你好，感謝你的回復，PPPOE撥號後看到USG FLEX 200設備是有獲取到公網IP地址的，IP地址為：220.132.224.***，但從其他電腦使用telnet 220.132.224.*** 8080,telnet 220.132.224.*** 443，以及telnet 220.132.224.*** 1701，telnet 220.132.224.*** 1723等連接埠，都是失敗的。

但用接在USG FLEX 200上的電腦來做telnet測試的話，又都是正常的。因此判斷是設備的連接埠是被屏蔽了，有聯繫過電信運營商，他們的技術人員換下USG FLEX 200後測試說IP地址的連接埠都是正常的。因為USG FLEX 200這台我之前測試也是正常，就不確定是哪裡出了問題？電信運營商的技術人員說是USG FLEX 200為專業防火墻設備，要咨詢廠家一下看要修改哪些設定。

Zyxel_Nat · 十月 2023

您好～
因為首先您的問題為VPN 無法連線，所以我們這邊會針對協助您如何讓VPN可以使用來做改善。
1. 預設telent port並不是以上的port，而且policy本來就會擋下唷，目前的設備都不會預設開啟telent唷
防火牆不會預設開啟不必要的服務（port)，可以透過安全性政策的設定來允許或禁止這些服務安全性政策設定教學
2. L2TP VPN不是使用您測試的那幾個port，所以這些telnet的測試沒有辦法分析，您的USG FLEX 200為何無法提供VPN服務，建議先參考以下提供的教學，透過精靈模式來重設一次VPN
若還是無法連線，需要防火牆log來分析唷，請提供設備連不上VPN當下的log來分析，
3. 您USG FLEX 200 為單機使用還是Nebula雲端使用呢？您是如何建立VPN的呢？推薦您參考精靈模式下的教學單機模式教學 Nebula模式教學
4. 若您還是無法連線，建議尋求幫您安裝的經銷商服務，或私訊小編提供聯繫資訊，我們將請工程師與您聯繫。

Frank_HK · 十月 2023

https://community.zyxel.com/tw/discussion/comment/57608#Comment_57608

你好，感謝你的回復，是VPN無法連線。之前測試時可以連線的。但我們沒有改過任何設定。正常我也是可以通過來http://220.132.224.***:8080/遠程訪問管理USG FLEX 200的，但現在都不行。，windows11下 VPN連接的話，系統也是顯示連接埠關閉的。我現在在內地，設備目前放在台灣，我僅能遠程連線其他電腦進到USG FLEX 200的管理界面。

Zyxel_Nat · 十月 2023

Hi Frank_HK,
1. http://220.132.224.***:8080/遠程訪問管理USG FLEX 200的
»正常預設是沒辦法通過 http://220.132.224.***:8080/ 來連入USG FLEX 200 的WebGUI，除非您有做設定。這部分設定，需要設定安全性政策及您webgui的port 。安全性政策設定教學

2. 您說您在內地指的是中國嗎？中國有防火長城GFW因此是不予許這類的VPN服務的，因此有時候可以有時候不行，這邊因為在地法規及GFW阻擋，所以是無法正常使用VPN服務。

Frank_HK · 十月 2023

https://community.zyxel.com/tw/discussion/comment/57614#Comment_57614

你好，感謝你的回復。

1.是有做設定的。之前設定好後，是可以遠程使用http://IP地址+8080 Port來遠程訪問管理USG FLEX 200的。或是https://IP地址+443 來訪問的。如http://220.132.24.**:8080/
，https://220.132.24.**:443/，這樣都是可以訪問管理USG FLEX 200的，現在換了一個地方使用就的無法訪問了，並沒有更改其他設定。USG FLEX 200是有獲取到公網IP地址的，但無論如何從外面都無法連線進來，顯示所有的Port都是關閉狀態的。

麻煩你告知USG FLEX 200的WAN口獲取的IP地址後，此IP地址所有的Port默認都是開放的？還是說USG FLEX 200所有Port默認都是關閉的，要啟用對應的服務後，才會開啟對應的Port，譬如我啟用了VPN，USG FLEX 200就會開啟VPN對應需要使用的Port？USG FLEX 200還有沒有需要更改其他設定來開啟Port？

我比較疑惑的是，我之前測試時，USG FLEX 200的VPN，遠程訪問管理都正常。我認為默認這些Port都是正常開放的，僅僅是換一個地方使用，應該不會造成這種問題。目前使用的是中華電信光世代數據機(D-Link DSL-7740C)，有跟中華電信的的技術支援人員確認，這台數據機也並不會關閉任何Port，說USG FLEX 200是台專業的防火墻設備，建議我們咨詢廠家。

2.內地是指中國，我知道有GFW。但有切換使用香港的網絡，都同樣無法連線到這台USG FLEX 200，無論是VPN還是遠程訪問管理。

Zyxel_Nat · 十月 2023

Hi Frank_HK,
預設8080, 443外對內是不能連入，
都是要去安全性策略允許才會可以使用，安全性策略頁面就可以檢查，哪些service(Port)您有無開啟。

舉例：
443port 其實有開這項服務(HTTPS)，但是安全性策略裡面是拒絕的

您可以提供config讓我們檢查一下，設定是不是哪邊做錯了。
或是您可以恢復原廠設定，按照教學一步一步的設定VPN唷，預設的情況下只需照做就可以使用喔。

https://community.zyxel.com/tw/discussion/10609/%E7%B2%BE%E9%9D%88%E6%A8%A1%E5%BC%8F%E6%96%B0%E5%A2%9El2tp-over-ipsec-vpn