我在现场有一台运行 8.2 的 ASA 5505,它已经可以正常工作了。它有两个接口,LAN/内部和 WAN/外部。从本地 ASA 的外部接口到远程 F/W 的外部接口(在本地内部主机 .1/32 和远程内部主机 .1/32 之间)配置了一个 L2 站点到站点 IPSec 隧道。
我想启用单个端口到本地 ASA 的外部 IP 的端口转发,以转发到内部主机。2
如果我在 CLI 上应用以下配置,是否会在不中断 IPSec 隧道的情况下让所需的流量进入?我是 ASA 的新手,不想阻止所需端口 (UDP 500/4500) 到达外部接口和 IPSec 隧道启动或类似情况。
access-list outside_access_in extended permit tcp any interface outside eq 555
static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255
目前没有 outside_access_in,所以如果我添加它,它是否会实现隐式拒绝并停止 IPSec 隧道?
答案1
几乎——您也需要一个access-group命令来将其应用于接口的入站流量。
不,crypto isakmp enable outside您已有的 应该就是维持 VPN 正常运行所需的全部内容。考虑您当前的配置 - 假设您的外部接口是最低安全级别,那么该接口上的策略已设置为隐式deny any any。
不过,也许可以在非工作时间关闭开关,以防万一你的配置中存在我没有考虑到的可能会破坏它的东西。