%20%E4%B8%8A%E7%9B%B4%E9%80%9A.png)
如果外部 IP 地址也用于 PAT,是否可以设置 PPTP VPN 流量(外部客户端和内部服务器)以通过 Cisco ASA 5505?
Cisco 示例将所有 NAT 流量从外部转发到内部 VPN 服务器。我目前只有一个可用的 IP,需要 PAT。
答案1
常规 ASA 配置默认不支持 PPTP 直通 — — 原因很古怪。Cisco TAC 可能接到过一些与此相关的案件...
要使 PPTP 通过 ASA 工作,最多需要做三件事
如果服务器位于 ASA 后面
- 如果使用 NAT/PAT,则配置必要的 NAT/PAT(可选,但通常是必需的)
- ACL 允许 TCP/1723 到服务器/IP(无论是真实的、映射的还是接口的,取决于 ASA 版本)
- 启用 PPTP 检查
- GRE 的显式 ACL 许可是不是必要的
如果客户端支持 ASA
- 启用 PPTP 检查
服务器示例
- ASA 外部接口 IP 1.1.1.2/30
- 服务器内部 IP 10.0.0.10/24
- 使用 ASA 外部接口 IP 的静态 PAT(端口转发)TCP/1723
ASA 8.3 及更新版本(重点关注对象)
object network hst-10.0.0.10
description Server
host 10.0.0.10
object network hst-10.0.0.10-tcp1723
description Server TCP/1723 Static PAT Object
host 10.0.0.10
nat (inside,outside) static interface service tcp 1723 1723
object-group service svcgrp-10.0.0.10 tcp
port-object eq 1723
access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
ASA 8.2 及之前版本
access-list outside_access_in extended permit tcp any interface outside eq 1723
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
客户端示例
适用于所有 ASA OS 版本
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
如果这些示例不适合您的场景,请发布您的具体信息,我们可以为您定制配置。
答案2
是的,这是完全可能的(以及我在这里如何使用 PPTP)。
- 在绑定到外部接口的访问列表上创建防火墙规则,以允许任何使用 pptp 的传入数据包通过。
- 在内部接口上创建 NAT 规则,将 pptp 端口上的所有传入数据包重定向到内部服务器
答案3
您还需要“检查”PPTP 流量。添加该功能后,我的问题就解决了。