通过 Cisco ASA 5505 设备在 Microsoft SBS 2008 中设置传入 VPN 时出现问题

通过 Cisco ASA 5505 设备在 Microsoft SBS 2008 中设置传入 VPN 时出现问题

我已经用 Cisco ASA 5505 设备替换了我们网络的老旧防火墙(使用 Linux 进行自定义设置)。这是一个非常简单的设置,大约有 10 个工作站和一个 Small Business Server 2008。

为 SBS 设置 SMTP、HTTPS、远程桌面等的传入端口一切顺利 - 它们正常工作。

但是,我未能成功允许传入 VPN 连接。尝试连接的客户端(运行 Windows 7)卡在“正在验证用户名和密码...”对话框中,30 秒后才收到错误消息。

我们有一个外部静态 IP,所以我无法在另一个 IP 地址上设置 VPN 连接。

我以与 SMTP 和其他端口相同的方式转发了 TCP 端口 1723,即通过添加静态 NAT 路由将来自端口 1723 上的 SBS 服务器的流量转换到外部接口。

此外,我设置了一条允许所有 GRE 数据包(src any、dst any)的访问规则。

我认为我必须以某种方式将传入的 GRE 数据包转发到 SBS 服务器,但这就是我遇到的难题。

我正在使用 ADSM 来配置 5505(不是控制台)。

很感谢任何形式的帮助!

编辑:另请参阅此处的相关问题:PPTP 在 Cisco ASA 5505 (8.2) 上直通

答案1

只要您允许(通过必要的 NAT 和 ACL)TCP/1723 进入 SBS 2008 服务器,只要启用了 ASA 的 PPTP 应用层网关 (ALG),就无需明确配置 GRE。

思科过去将这些 ALG 称为“修复”,现在在 ASA 中它们被称为“检查”。

原始 ASA 配备了一个利用全局策略的基本模块化策略框架 (MPF) - 遗憾的是,PPTP ALG 并未启用,这让许多 Windows 管理员非常懊恼。

从 CLI

添加inspect pptp到您的流量类别(可能inspection_default在中定义的流量类别global_policy)。

从 ASDM

配置(顶部)-> 防火墙(左下)-> 服务策略规则(左中)

选择可能的流量类别inspection_default-> 单击“编辑”

规则操作(选项卡)-> 检查 PPTP -> 确定 -> 应用

保存配置。

相关内容