外部IPアドレスがPATにも使用されている場合、PPTP VPNトラフィック(外部のクライアントと内部のサーバー)がCisco ASA 5505をパススルーするように設定できますか?
シスコの例では、すべてのNATトラフィックを外部から内部のVPNサーバーに転送します。現在使用できるIPは1つだけで、PATが必要です。
標準のASA設定には、デフォルトでPPTPパススルーのサポートが含まれていません-理由がおかしいです。CiscoTACは、これに関連するいくつかのケースを取得する可能性があります...
ASAを介してPPTPを取得するために必要なものは最大3つあります
サーバーがASAの背後にある場合
クライアントがASAの背後にある場合
サーバーの例
ASA 8.3以降(オブジェクトに焦点を当てて)
object network hst-10.0.0.10
description Server
Host 10.0.0.10
object network hst-10.0.0.10-tcp1723
description Server TCP/1723 Static PAT Object
Host 10.0.0.10
nat (inside,outside) static interface service tcp 1723 1723
object-group service svcgrp-10.0.0.10 tcp
port-object eq 1723
access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
ASA 8.2以前
access-list outside_access_in extended permit tcp any interface outside eq 1723
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
クライアントの例
すべてのASA OSバージョンに有効
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
これらの例がシナリオに適合しない場合は、詳細を投稿してください。設定をカスタマイズできます。
はい、これは完全に可能です(そしてPPTPここでの使用方法)。
また、PPTPトラフィックを「検査」する必要があります。これを追加すると、問題が修正されました。