Я настроил VPN с удаленным доступом на моем ASA5510 под управлением 8.4 и включил его на внешнем интерфейсе.
По какой-то причине, если внутренний хост использует VPN-клиент для подключения через брандмауэр, он в конечном итоге принимает порт udp / 500 (udp / isakmp) или tcpudp / 4500 (IPSec NAT-T).
Внутренние хосты используют PAT для трансляции на внешний, но я бы подумал, что ASA никогда не предоставит трансляции PAT, которые переопределяют его собственные порты (например, 500 и 4500).
Я вижу, что пакеты падают во время согласования и аутентификации. Если я отключу VPN-клиент на внутреннем хосте, клиенты удаленного доступа смогут подключиться снова.
Вот некоторые из конфигов (по понятным причинам очищены):
access-list vpnclient_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
ip local pool vpnclient-pool 10.0.254.5-10.0.254.249 mask 255.255.255.0
group-policy remote_access internal
group-policy vpnclient attributes
dns-server value 10.0.0.2
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpnclient_splitTunnelAcl
default-domain value example.local
tunnel-group vpnclient type remote-access
tunnel-group vpnclient general-attributes
address-pool vpnclient-pool
authentication-server-group RADIUS
default-group-policy vpnclient
tunnel-group vpnclient ipsec-attributes
ikev1 pre-shared-key ***********
tunnel-group vpnclient ppp-attributes
no authentication chap
no authentication ms-chap-v1
Как я могу предотвратить использование внутренних хостов портов ISAKMP и IPSec NAT-T на 8.4 ASA5510?
У вас есть crypto isakmp nat-traversal 20
включен на целевом и исходном брандмауэрах? Это обычная проблема, и части вашей истории последовательны. Однако в конфигурации может быть что-то еще. Вы можете выложить остальные?
Комбинация IPSec Pass-through и взлома NAT решает проблему с портами 500 и 4500, «украденными» для меня внутренними хостами:
configure terminal
object network VPN-endpoint
description Prevent inside hosts from stealing VPN endpoint with PAT
host 172.16.0.1
nat (any,outside) static interface service udp isakmp isakmp
exit
access-list ipsecpassthroughacl extended permit udp any any eq isakmp
access-list ipsecpassthroughacl extended permit object-group TCPUDP any any eq 4500
class-map ipsecpassthru-traffic
match access-list ipsecpassthroughacl
exit
policy-map type inspect ipsec-pass-thru iptmap
parameters
esp
ah
exit
exit
policy-map inspection_policy
class ipsecpassthru-traffic
inspect ipsec-pass-thru iptmap
exit
exit
service-policy inspection_policy interface outside
exit