我已经在运行 8.4 的 ASA5510 上配置了远程访问 VPN,并在外部接口上启用了它。
由于某种原因,如果内部主机使用 VPN 客户端通过防火墙进行连接,他们最终会占用端口 udp/500(udp/isakmp)或 tcpudp/4500(IPSec NAT-T)。
内部主机使用 PAT 转换到外部,但我认为 ASA 永远不会提供覆盖其自身端口(如 500 和 4500)的 PAT 转换。
我看到协商和身份验证期间数据包丢失。如果我断开内部主机上的 VPN 客户端,远程访问客户端可以再次连接。
以下是一些配置(由于显而易见的原因而被删除):
access-list vpnclient_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
ip local pool vpnclient-pool 10.0.254.5-10.0.254.249 mask 255.255.255.0
group-policy remote_access internal
group-policy vpnclient attributes
dns-server value 10.0.0.2
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpnclient_splitTunnelAcl
default-domain value example.local
tunnel-group vpnclient type remote-access
tunnel-group vpnclient general-attributes
address-pool vpnclient-pool
authentication-server-group RADIUS
default-group-policy vpnclient
tunnel-group vpnclient ipsec-attributes
ikev1 pre-shared-key ***********
tunnel-group vpnclient ppp-attributes
no authentication chap
no authentication ms-chap-v1
如何防止内部主机在 8.4 ASA5510 上占用 ISAKMP 和 IPSec NAT-T 端口?
答案1
您是否已crypto isakmp nat-traversal 20在目标和源防火墙上启用?这是一个常见问题,你的故事有些部分是一致的。不过,配置中可能还有其他问题。你能发布其余部分吗?
答案2
IPSec 直通和 NAT 黑客的组合解决了端口 500 和 4500 被内部主机“窃取”的问题:
configure terminal
object network VPN-endpoint
description Prevent inside hosts from stealing VPN endpoint with PAT
host 172.16.0.1
nat (any,outside) static interface service udp isakmp isakmp
exit
access-list ipsecpassthroughacl extended permit udp any any eq isakmp
access-list ipsecpassthroughacl extended permit object-group TCPUDP any any eq 4500
class-map ipsecpassthru-traffic
match access-list ipsecpassthroughacl
exit
policy-map type inspect ipsec-pass-thru iptmap
parameters
esp
ah
exit
exit
policy-map inspection_policy
class ipsecpassthru-traffic
inspect ipsec-pass-thru iptmap
exit
exit
service-policy inspection_policy interface outside
exit