web-dev-qa-db-ja.com

PPTP Cisco ASA 5505(8.2)でパススルー

外部IPアドレスがPATにも使用されている場合、PPTP VPNトラフィック(外部のクライアントと内部のサーバー)がCisco ASA 5505をパススルーするように設定できますか?

シスコの例では、すべてのNATトラフィックを外部から内部のVPNサーバーに転送します。現在使用できるIPは1つだけで、PATが必要です。

5
ITGuy24

標準のASA設定には、デフォルトでPPTPパススルーのサポートが含まれていません-理由がおかしいです。CiscoTACは、これに関連するいくつかのケースを取得する可能性があります...

ASAを介してPPTPを取得するために必要なものは最大3つあります

サーバーがASAの背後にある場合

  1. NAT/PATを使用する場合は、必要なNAT/PATを構成します(オプションですが、通常は必要です)
  2. ACLはTCP/1723をサーバー/ IPに許可します(実数、マップ済み、またはインターフェースがASAバージョンに依存するかどうか)
  3. 有効にするPPTP検査
    • GREの明示的なACL許可はnot必要です

クライアントがASAの背後にある場合

  1. PPTP検査を有​​効にする

サーバーの例

  • ASA外部インターフェイスIP 1.1.1.2/30
  • IP 10.0.0.10/24内のサーバー
  • ASA外部インターフェイスIPを使用するスタティックPAT(ポート転送)TCP/1723

ASA 8.3以降(オブジェクトに焦点を当てて)

object network hst-10.0.0.10
 description Server
 Host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 Host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2以前

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

クライアントの例

すべてのASA OSバージョンに有効

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

これらの例がシナリオに適合しない場合は、詳細を投稿してください。設定をカスタマイズできます。

5
Weaver

はい、これは完全に可能です(そしてPPTPここでの使用方法)。

  1. OUTSIDEインターフェイスにバインドされているアクセスリストにファイアウォールルールを作成して、pptpを使用する着信パケットの通過を許可します。
  2. Pptpポート上のすべての着信パケットを内部サーバーにリダイレクトする内部インターフェースにNATルールを作成します
0
pauska

また、PPTPトラフィックを「検査」する必要があります。これを追加すると、問題が修正されました。

0
Nic