Я уверен, что всем известно, что Mac выпустил обновление для OSX и iOS, в котором удалена поддержка PPTP VPN. Поскольку они просты и почти полностью подключаются к сети, большинство наших клиентов уже настроили PPTP VPN. Но с этим последним обновлением нам нужно найти другое решение.
И клиенты Windows, и Mac поддерживают IKEv2, он уже настроен на нашем сервере Windows, и сторонний клиент VPN не требуется ни в одной из операционных систем. Это решение будет полностью прозрачным для всех конечных пользователей Windows, требуя от нас перенастраивать только клиентов Mac. Все, что нам нужно сделать, это настроить для него брандмауэр.
Мы размещаем текущий PPTP VPN на сервере Windows 2012r2. Сервер находится за CISCO ASA 5505 с ASA 8.4 (7). На основе того, что я исследовал, мне нужно создать правила доступа и правила NAT для перенаправления портов 500 и 4500. Я также читал, что мне нужно либо создать статический NAT 1: 1 для ESP, либо что некоторые версии IOS ( и я предполагаю, что ASA) поддерживает «прозрачность IPsec NAT», которая инкапсулирует ESP в IP-пакет через порт 4500 (аналогично сквозной передаче GRE для PPTP). К сожалению, вся документация, касающаяся этой функции, отсутствует на веб-сайте Cisco и перенаправляет на стандартную целевую страницу «End Of Life».
Я настроил правила доступа для пересылки портов UDP 500 и 4500. Когда я создаю правила NAT для этих портов, я получаю сообщение об ошибке (от ASDM):
[ERROR] nat (inside,Outside-Comcast) static interface service udp 500 500
NAT unable to reserve ports.
Я не знаю, почему это не удается. Я предполагаю, что на ASA есть конфликт, возможно, из-за конфигурации Cisco VPN, установленной на ASA по умолчанию.
Я также не знаю, как включить прозрачность IPsec NAT и даже если эта версия ASA ее поддерживает.
Программное обеспечение Cisco Adaptive Security Appliance версии 8.4 (7) Диспетчер устройств версии 7.3 (3)
Я понимаю, что сообщение об ошибке NAT очень специфично для моей конфигурации, и я могу поделиться текущей запущенной конфигурацией, если это необходимо, но я надеюсь, что кто-то может знать, что "о да, XYZ включен по умолчанию, а вы сначала нужно выключить его ".
Любые советы по IPsec NAT были бы очень полезны. Если есть документация, которая говорит мне, поддерживает ли эта версия ASA это или есть другая, более новая функция, которую мы можем включить, которая делает то же самое.
Вам необходимо разрешить сквозную передачу IPSEC на брандмауэре. Если у вас есть доступный общедоступный IP-адрес, выполните NAT 1: 1 с общедоступного IP-адреса на частный IP-адрес VPN-сервера. Все, что нужно сделать на этом этапе, - это добавить ACE, который позволяет портам подключаться к серверу VPN.
Обсуждение этого можно найти на сайте поддержки Cisco. https://supportforums.cisco.com/discussion/10160506/ipsec-passthrough-asa5505