Cisco ASA 5505 (8.2) 上的 PPTP 直通

Question

如果外部 IP 地址也用于 PAT，是否可以设置 PPTP VPN 流量（外部客户端和内部服务器）以通过 Cisco ASA 5505？

Cisco 示例将所有 NAT 流量从外部转发到内部 VPN 服务器。我目前只有一个 IP 可用，需要 PAT。

Answer 1

默认情况下，库存 ASA 配置不包括对 PPTP 直通的支持——原因很疯狂。思科 TAC 可能会收到一些与此相关的案例......

通过 ASA 使 PPTP 工作至多需要三件事

如果服务器在 ASA 后面

1. 如果使用 NAT/PAT，则配置必要的 NAT/PAT（可选但通常需要）
2. ACL 允许 TCP/1723 到服务器/IP（无论是真实的、映射的还是接口取决于 ASA 版本）
3. 启用 PPTP 检查
   • 对于GRE明确ACL许可证是不是必要的

如果客户端在 ASA 后面

1. 启用 PPTP 检查

服务器示例

• ASA 外部接口 IP 1.1.1.2/30
• 服务器内部 IP 10.0.0.10/24
• 使用 ASA 外部接口 IP 的静态 PAT（端口转发）TCP/1723

ASA 8.3 及更新版本（专注于对象）

object network hst-10.0.0.10
 description Server
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2 及更早版本

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

客户端示例

适用于所有 ASA 操作系统版本

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

如果这些示例不适合您的场景，请发布您的详细信息，我们可以为您定制配置。

Answer 2

是的，这是完全可能的（以及我在这里如何使用 PPTP）。

1. 在绑定到 OUTSIDE 接口的访问列表上创建防火墙规则，以允许任何使用 pptp 的传入数据包通过。
2. 在内部接口上创建 NAT 规则，将 pptp 端口上的所有传入数据包重定向到内部服务器