Cisco ASA 5505 (8.2) 上的 PPTP 直通

ITG*_*y24 5 nat pptp cisco-asa

如果外部 IP 地址也用于 PAT,是否可以设置 PPTP VPN 流量(外部客户端和内部服务器)以通过 Cisco ASA 5505?

Cisco 示例将所有 NAT 流量从外部转发到内部 VPN 服务器。我目前只有一个 IP 可用,需要 PAT。

Wea*_*ver 5

默认情况下,库存 ASA 配置不包括对 PPTP 直通的支持——原因很疯狂。思科 TAC 可能会收到一些与此相关的案例......

通过 ASA 使 PPTP 工作至多需要三件事

如果服务器在 ASA 后面

  1. 如果使用 NAT/PAT,则配置必要的 NAT/PAT(可选但通常需要)
  2. ACL 允许 TCP/1723 到服务器/IP(无论是真实的、映射的还是接口取决于 ASA 版本)
  3. 启用 PPTP 检查
    • 对于GRE明确ACL许可证是不是必要的

如果客户端在 ASA 后面

  1. 启用 PPTP 检查

服务器示例

  • ASA 外部接口 IP 1.1.1.2/30
  • 服务器内部 IP 10.0.0.10/24
  • 使用 ASA 外部接口 IP 的静态 PAT(端口转发)TCP/1723

ASA 8.3 及更新版本(专注于对象)

object network hst-10.0.0.10
 description Server
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global
Run Code Online (Sandbox Code Playgroud)

ASA 8.2 及更早版本

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global
Run Code Online (Sandbox Code Playgroud)

客户端示例

适用于所有 ASA 操作系统版本

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global
Run Code Online (Sandbox Code Playgroud)

如果这些示例不适合您的场景,请发布您的详细信息,我们可以为您定制配置。


pau*_*ska 0

是的,这是完全可能的(以及我在这里如何使用 PPTP)。

  1. 在绑定到 OUTSIDE 接口的访问列表上创建防火墙规则,以允许任何使用 pptp 的传入数据包通过。
  2. 在内部接口上创建 NAT 规则,将 pptp 端口上的所有传入数据包重定向到内部服务器