Problema ao configurar a VPN de entrada no Microsoft SBS 2008 por meio de um dispositivo Cisco ASA 5505

Question

Problema ao configurar a VPN de entrada no Microsoft SBS 2008 por meio de um dispositivo Cisco ASA 5505

#1 resposta do (1 votos)

1

Eu substituí um firewall antigo (configuração personalizada usando Linux) por um dispositivo Cisco ASA 5505 para nossa rede. É uma configuração muito simples com cerca de 10 estações de trabalho e um único Small Business Server 2008.

A configuração de portas de entrada para SMTP, HTTPS, área de trabalho remota etc. para o SBS correu bem - elas estão funcionando como deveriam.

No entanto, não consegui permitir conexões VPN de entrada. Os clientes que tentam se conectar (executando o Windows 7) ficam presos com a caixa de diálogo "Verificando o nome de usuário e a senha ..." antes de receber uma mensagem de erro 30 segundos depois.

Temos um único IP estático externo, por isso não podemos configurar a conexão VPN em outro endereço IP.

Eu encaminhei a porta TCP 1723 da mesma forma que fiz para o SMTP e os outros, adicionando uma rota NAT estática traduzindo o tráfego do servidor SBS na porta 1723 para a interface externa.

Além disso, eu configurei uma regra de acesso que permite todos os pacotes GRE (src any, dst any).

Eu percebi que devo de alguma forma encaminhar pacotes GRE de entrada para o servidor SBS, mas é aí que estou preso.

Estou usando o ADSM para configurar o 5505 (não o console).

Qualquer ajuda é muito apreciada!

EDIT: Veja também a questão relacionada aqui: PPTP pass através do Cisco ASA 5505 (8.2)

cisco cisco-asa windows-sbs-2008

por Nils 27.11.2012 / 23:48

1 resposta

Tags cisco cisco-asa windows-sbs-2008

Apache: redireciona para https antes de AUTH para status do servidor Encaminhando e-mails para usuários / aliases inexistentes para o servidor de e-mail externo

score 1 · Accepted Answer

Desde que você tenha permitido (via NAT e ACL) TCP / 1723 ao servidor SBS 2008, não é necessário configurar explicitamente o GRE, desde que o ALG (Application Layer Gateway) do ASA esteja habilitado.

A Cisco costumava chamar a "correção" do ALG agora eles são chamados de "inspecionar" no ASA.

Um ASA vanilla vem com um framework de política modular (MPF) básico que faz uso de uma política global - infelizmente o ALP do PPTP não é habilitado para o desgosto de muitos administradores do Windows.

Do CLI

Adicione inspect pptp à sua classe de tráfego (provavelmente definido inspection_default classe de tráfego no global_policy ).

Do ASDM

Configuração (superior) - > Firewall (inferior esquerdo) - > Regras de Política de Serviço (Meio Esquerdo)

Selecione a classe de tráfego que provavelmente é inspection_default - > Clique em Editar

Ações de regra (guia) - > Verifique o PPTP - > OK - > Aplicar

Salvar configuração.