PPTP Cisco ASA 5505（8.2）でパススルー

標準のASA設定には、デフォルトでPPTPパススルーのサポートが含まれていません-理由がおかしいです。CiscoTACは、これに関連するいくつかのケースを取得する可能性があります...

ASAを介してPPTPを取得するために必要なものは最大3つあります

サーバーがASAの背後にある場合

1. NAT/PATを使用する場合は、必要なNAT/PATを構成します（オプションですが、通常は必要です）
2. ACLはTCP/1723をサーバー/ IPに許可します（実数、マップ済み、またはインターフェースがASAバージョンに依存するかどうか）
3. 有効にするPPTP検査
   • GREの明示的なACL許可はnot必要です

クライアントがASAの背後にある場合

1. PPTP検査を有​​効にする

サーバーの例

• ASA外部インターフェイスIP 1.1.1.2/30
• IP 10.0.0.10/24内のサーバー
• ASA外部インターフェイスIPを使用するスタティックPAT（ポート転送）TCP/1723

ASA 8.3以降（オブジェクトに焦点を当てて）

object network hst-10.0.0.10
 description Server
 Host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 Host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2以前

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

クライアントの例

すべてのASA OSバージョンに有効

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

これらの例がシナリオに適合しない場合は、詳細を投稿してください。設定をカスタマイズできます。

はい、これは完全に可能です（そしてPPTPここでの使用方法）。

1. OUTSIDEインターフェイスにバインドされているアクセスリストにファイアウォールルールを作成して、pptpを使用する着信パケットの通過を許可します。
2. Pptpポート上のすべての着信パケットを内部サーバーにリダイレクトする内部インターフェースにNATルールを作成します

また、PPTPトラフィックを「検査」する必要があります。これを追加すると、問題が修正されました。