PPTP passar pelo Cisco ASA 5505 (8.2)

5

É possível configurar o tráfego VPN PPTP (clientes externos e internos do servidor) para passar um Cisco ASA 5505 se o endereço IP externo também estiver sendo usado para o PAT?

Os exemplos da Cisco encaminham todo o tráfego NAT do lado de fora para o servidor VPN interno. Eu só tenho um IP disponível atualmente e preciso de PAT.

    
por ITGuy24 14.04.2010 / 05:29

3 respostas

5

A configuração padrão do ASA não inclui suporte para PPTP passthrough por padrão - maluco por que. O Cisco TAC provavelmente recebe alguns casos relacionados a isso ...

Existem no máximo três coisas necessárias para que o PPTP funcione através de um ASA

Se o servidor estiver por trás do ASA

  1. Configure o NAT / PAT necessário se estiver usando NAT / PAT (opcional, mas normalmente necessário)
  2. ACL permitir TCP / 1723 para servidor / IP (seja real, mapeado ou interface depende da versão do ASA)
  3. Ativar inspeção de PPTP
    • A autorização explícita da ACL para GRE é não necessária

Se o cliente estiver por trás do ASA

  1. Ativar inspeção de PPTP

Exemplo de servidor

  • Interface externa ASA IP 1.1.1.2/30
  • Servidor dentro do IP 10.0.0.10/24
  • PAT estático (encaminhamento de porta) TCP / 1723 usando ASA fora do IP da interface

ASA 8.3 e mais recente (com foco em objetos)

object network hst-10.0.0.10
 description Server
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2 e anterior

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Exemplo de cliente

Válido para todas as versões do SO ASA

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Se esses exemplos não se adequarem ao seu cenário, poste seus detalhes e poderemos personalizar uma configuração para você.

    
por 27.07.2011 / 04:12
0

Sim, isso é perfeitamente possível (e como eu uso o PPTP aqui).

  1. Crie uma regra de firewall na lista de acesso vinculada à sua interface OUTSIDE para permitir que qualquer pacote de entrada usando pptp seja transmitido.
  2. Crie uma regra NAT na interface interna que redireciona todos os pacotes de entrada na porta pptp para um servidor interno
por 14.04.2010 / 10:32
0

Você também precisa "inspecionar" o tráfego PPTP. Adicionando isso resolveu o problema para mim.

    
por 13.05.2010 / 17:28