Назад | Перейти на главную страницу

Прохождение PPTP на Cisco ASA 5505 (8.2)

Можно ли настроить трафик PPTP VPN (клиенты снаружи и сервер внутри) для прохождения через Cisco ASA 5505, если внешний IP-адрес также используется для PAT?

Примеры Cisco перенаправляют весь трафик NAT извне на внутренний сервер VPN. В настоящее время у меня есть только один IP-адрес, и мне нужен PAT.

Стандартная конфигурация ASA не включает поддержку сквозной передачи PPTP по умолчанию - безумие, почему. Cisco TAC, вероятно, получит несколько дел, связанных с этим ...

Для работы PPTP через ASA требуется не более трех вещей.

Если сервер находится за ASA

  1. Настройте необходимый NAT / PAT при использовании NAT / PAT (необязательно, но обычно требуется)
  2. ACL разрешает TCP / 1723 для сервера / IP (реальный, отображаемый или интерфейс зависит от версии ASA)
  3. Включить проверку PPTP
    • Явное разрешение ACL для GRE: не нужно

Если клиент находится за ASA

  1. Включить проверку PPTP

Пример сервера

  • Внешний интерфейс ASA IP 1.1.1.2/30
  • Сервер внутри IP 10.0.0.10/24
  • Статический PAT (переадресация портов) TCP / 1723 с использованием IP внешнего интерфейса ASA

ASA 8.3 и новее (с упором на объекты)

object network hst-10.0.0.10
 description Server
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2 и ранее

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Пример клиента

Действительно для всех версий ОС ASA

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Если эти примеры не подходят для вашего сценария, опубликуйте свои особенности, и мы сможем настроить конфигурацию для вас.

Вам также необходимо «проверить» трафик PPTP. Добавление этого устранило проблему для меня.

Да, это вполне возможно (и как я здесь использую PPTP).

  1. Создайте правило брандмауэра в списке доступа, привязанном к вашему ВНЕШНЕМ интерфейсу, чтобы разрешить прохождение любых входящих пакетов, использующих pptp.
  2. Создайте правило NAT на внутреннем интерфейсе, которое перенаправляет все входящие пакеты через порт pptp на внутренний сервер.