У меня ASA 5505 на 8.2 в поле уже работает. Он имеет два интерфейса: LAN / внутренний и WAN / внешний. Существует туннель IPSec типа «сеть-сеть» L2, настроенный от внешнего интерфейса локального ASA к внешнему интерфейсу удаленного F / W (между локальным внутренним хостом .1 / 32 и удаленным внутренним хостом .1 / 32).
Я хочу включить переадресацию портов для одного порта на внешний IP-адрес локального ASA для пересылки на внутренний хост. 2
Если я применю указанные ниже конфигурации в интерфейсе командной строки, будет ли это пропускать желаемый трафик без нарушения туннеля IPSec? Я новичок в ASA и не хочу останавливать требуемые порты (UDP 500/4500) от попадания во внешний интерфейс и туннель IPSec или что-то в этом роде.
access-list outside_access_in extended permit tcp any interface outside eq 555
static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255
В настоящее время нет external_access_in, поэтому, если я добавлю это, будет ли он реализовывать неявное запрещение после и останавливать туннель IPSec?
Почти - вам понадобится access-group тоже, чтобы применить ее к входящему трафику интерфейса.
И нет; то crypto isakmp enable outside то, что у вас уже есть, должно быть всем, что нужно для поддержки VPN. Рассмотрим вашу текущую конфигурацию - если ваш внешний интерфейс имеет самый низкий уровень безопасности, тогда для политики этого интерфейса уже установлен неявный deny any any.
Возможно, выключите переключатель в рабочее время, на всякий случай, если в вашей конфигурации есть что-то такое, что я не считаю, что могло бы его сломать.