Назад | Перейти на главную страницу

Как я могу предотвратить использование внутренних хостов портов ISAKMP и IPSec NAT-T на 8.4 ASA5510?

Я настроил VPN с удаленным доступом на моем ASA5510 под управлением 8.4 и включил его на внешнем интерфейсе.

По какой-то причине, если внутренний хост использует VPN-клиент для подключения через брандмауэр, он в конечном итоге принимает порт udp / 500 (udp / isakmp) или tcpudp / 4500 (IPSec NAT-T).

Внутренние хосты используют PAT для трансляции на внешний, но я бы подумал, что ASA никогда не предоставит трансляции PAT, которые переопределяют его собственные порты (например, 500 и 4500).

Я вижу, что пакеты падают во время согласования и аутентификации. Если я отключу VPN-клиент на внутреннем хосте, клиенты удаленного доступа смогут подключиться снова.

Вот некоторые из конфигов (по понятным причинам очищены):

access-list vpnclient_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
ip local pool vpnclient-pool 10.0.254.5-10.0.254.249 mask 255.255.255.0
group-policy remote_access internal
group-policy vpnclient attributes
 dns-server value 10.0.0.2
 vpn-tunnel-protocol ikev1
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value vpnclient_splitTunnelAcl
 default-domain value example.local
tunnel-group vpnclient type remote-access
tunnel-group vpnclient general-attributes
 address-pool vpnclient-pool
 authentication-server-group RADIUS
 default-group-policy vpnclient
tunnel-group vpnclient ipsec-attributes
 ikev1 pre-shared-key ***********
tunnel-group vpnclient ppp-attributes
 no authentication chap
 no authentication ms-chap-v1

Как я могу предотвратить использование внутренних хостов портов ISAKMP и IPSec NAT-T на 8.4 ASA5510?

У вас есть crypto isakmp nat-traversal 20 включен на целевом и исходном брандмауэрах? Это обычная проблема, и части вашей истории последовательны. Однако в конфигурации может быть что-то еще. Вы можете выложить остальные?

Комбинация IPSec Pass-through и взлома NAT решает проблему с портами 500 и 4500, «украденными» для меня внутренними хостами:

configure terminal
 object network VPN-endpoint
  description Prevent inside hosts from stealing VPN endpoint with PAT
  host 172.16.0.1
  nat (any,outside) static interface service udp isakmp isakmp
  exit
 access-list ipsecpassthroughacl extended permit udp any any eq isakmp
 access-list ipsecpassthroughacl extended permit object-group TCPUDP any any eq 4500
 class-map ipsecpassthru-traffic
  match access-list ipsecpassthroughacl
  exit
 policy-map type inspect ipsec-pass-thru iptmap
  parameters
   esp
   ah
   exit
  exit
 policy-map inspection_policy
  class ipsecpassthru-traffic
   inspect ipsec-pass-thru iptmap
   exit
  exit
 service-policy inspection_policy interface outside
 exit