У меня есть сервер 2012, на котором запущены службы PPTP и L2TP VPN за ISR Cisco 1841. Мои правила NAT разрешают подключение PPTP-трафика, однако я не могу выполнить подключение по L2TP. Соответствующие правила NAT приведены ниже:
ip nat inside source static udp 192.168.62.2 500 1.2.3.4 500 extendable
ip nat inside source static udp 192.168.62.2 1701 1.2.3.4 1701 extendable
ip nat inside source static tcp 192.168.62.2 1723 1.2.3.4 1723 extendable
ip nat inside source static udp 192.168.62.2 4500 1.2.3.4 4500 extendable
Что еще мне нужно включить на 1841? Я попытался включить ESP и разрешить isakmp и esp через списки доступа. Однако первое правило списка доступа должно разрешать это в любом случае, так что нет, я в растерянности.
PPTP не имеет ничего общего с L2TP. PPTP использует gre для передачи полезной нагрузки и tcp / 1723 в качестве канала управления, а L2TP использует udp / 1701 как один канал, который может быть дополнительно зашифрован с помощью ipsec. Между прочим, Windows из коробки действительно применяет ipsec на L2TP.
Таким образом, ваши настройки NAT не имеют ничего общего с L2TP / ipsec, который вы пытаетесь пройти через свой шлюз, потому что вы должны пройти udp / 500 и ах / особенно протоколы (последнее зависит от политики безопасности, которую применяет концентратор Windows VPN, и AH вообще не будет работать через NAT). Кроме того, наличие VPN-концентратора за шлюзом Cisco, которым вы управляете, является полная чушь, потому что Cisco способна как инкапсуляция dot1q и Завершение VPN, включая l2tp с ipsec или без него. Так что либо предоставьте своему концентратору Windows VPN полное подключение к глобальной сети через vlan, либо настройте сервер VPN на Cisco.