A configuração padrão do ASA não inclui suporte para PPTP passthrough por padrão - maluco por que. O Cisco TAC provavelmente recebe alguns casos relacionados a isso ...
Existem no máximo três coisas necessárias para que o PPTP funcione através de um ASA
Se o servidor estiver por trás do ASA
- Configure o NAT / PAT necessário se estiver usando NAT / PAT (opcional, mas normalmente necessário)
- ACL permitir TCP / 1723 para servidor / IP (seja real, mapeado ou interface depende da versão do ASA)
- Ativar inspeção de PPTP
- A autorização explícita da ACL para GRE é não necessária
Se o cliente estiver por trás do ASA
- Ativar inspeção de PPTP
Exemplo de servidor
- Interface externa ASA IP 1.1.1.2/30
- Servidor dentro do IP 10.0.0.10/24
- PAT estático (encaminhamento de porta) TCP / 1723 usando ASA fora do IP da interface
ASA 8.3 e mais recente (com foco em objetos)
object network hst-10.0.0.10
description Server
host 10.0.0.10
object network hst-10.0.0.10-tcp1723
description Server TCP/1723 Static PAT Object
host 10.0.0.10
nat (inside,outside) static interface service tcp 1723 1723
object-group service svcgrp-10.0.0.10 tcp
port-object eq 1723
access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
ASA 8.2 e anterior
access-list outside_access_in extended permit tcp any interface outside eq 1723
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
Exemplo de cliente
Válido para todas as versões do SO ASA
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect pptp
service-policy global_policy global
Se esses exemplos não se adequarem ao seu cenário, poste seus detalhes e poderemos personalizar uma configuração para você.