Eu tenho dois dispositivos, um Cisco ASA e um outro dispositivo. O Cisco e o outro dispositivo têm túneis IPsec, mas em locais diferentes. Eu preciso garantir que a porta de origem do outro dispositivo não é UDP-500 quando é NAT, já que é a mesma porta que o serviço IPsec da Cisco e, portanto, vemos um problema em que os pacotes de resposta destinados ao outro dispositivo acertar o ASA.
De acordo com a FAQ da Cisco sobre NAT ( link ) ele preserva a porta sempre que possível por padrão com base em" Q. Ao configurar para PAT (sobrecarga), qual é o número máximo de traduções que podem ser criadas por dentro do endereço IP global? "
Pergunta: Como posso forçar todos os mapeamentos PAT a usar portas de origem > 1024?
Alternativamente, como posso forçar o ASA a ignorar os pacotes IPsec de um endereço IP específico e apenas tratá-los como os pacotes normais NAT e encaminhá-los de volta para o dispositivo interno?
No iptables linux, eu usaria algo como: iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT - para-source x.x.x.x: 1024-30000
Resolvido por outro meio, desativando o acesso IPsec na Cisco para os IPs com os quais o dispositivo interno está se comunicando. Isso via lista de acesso ao plano de controle:
ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any ciscoasa(config)# access-list FILTER-VPN permit ip any any ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane
(Fonte: link )