У меня есть 2 устройства, Cisco ASA и еще одно устройство за ним. И Cisco, и другое устройство имеют туннели IPsec, но в разные места. Мне нужно убедиться, что исходный порт другого устройства не является UDP-500, когда он настроен через NAT, поскольку это тот же порт, что и служба Cisco IPsec, и поэтому мы видим проблему, когда вместо этого ответные пакеты предназначены для другого устройства. ударил ASA.
Согласно FAQ Cisco по NAT (http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html) он сохраняет порт, где это возможно, по умолчанию на основе «Q. При настройке для PAT (перегрузка), какое максимальное количество преобразований может быть создано на внутренний глобальный IP-адрес?»
Вопрос: Как заставить все сопоставления PAT использовать исходные порты> 1024?
В качестве альтернативы, как я могу заставить ASA игнорировать пакеты IPsec с определенного IP-адреса и просто обрабатывать их как обычные пакеты NAT и пересылать их обратно на внутреннее устройство?
В linux iptables я бы использовал что-то вроде: iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT --to-source x.x.x.x: 1024-30000
Решил это другим способом, отключив доступ IPsec на Cisco для IP-адресов, с которыми взаимодействует внутреннее устройство. Сделал это через списки доступа уровня управления:
ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any ciscoasa(config)# access-list FILTER-VPN permit ip any any ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane
(Источник: https://supportforums.cisco.com/discussion/12001786/restrict- sure-ip-addresses-establishing-ipsec)