Вопросы Теги

PPTP проходят на Cisco ASA 5505 (8.2)

Могло бы стоить посмотреть на cloudkick. Это будет зависеть от точно вида контроля, необходимо сделать, но это специально предназначено для EC2:

https://www.cloudkick.com/

5
задан 14 April 2010 в 06:29
3 ответа

Да, это совершенно возможно (и как я использую PPTP здесь).

  1. Создайте правило брандмауэра о списке доступа, который это обязано с Вашим интерфейсом OUTSIDE позволить любым входящим пакетам с помощью pptp для передачи.
  2. Создайте правило NAT о внутреннем интерфейсе, который перенаправляет все входящие пакеты на pptp порте к внутреннему серверу
0
ответ дан 3 December 2019 в 01:42
  • 1
    Я сделал это, плюс позволенный Трафик GRE также, но это все еще isn' t работа. Я вижу хиты на правиле PPTP при создании попыток подключения, но ничто не поражает правило GRE. –  ITGuy24 14 April 2010 в 15:46
  • 2
    Cisco ASA имеет прокси протокола для PPTP, Вы не должны должны быть передавать GRE. –  pauska 15 April 2010 в 11:52

Необходимо также "осмотреть" трафик PPTP. Добавление, который решил проблему для меня.

0
ответ дан 3 December 2019 в 01:42

Запас конфигурация ASA не включает поддержку передачи PPTP по умолчанию - сумасшедший относительно почему. Cisco TAC, вероятно, получает горстку случаев, связанных с этим...

Существует самое большее три вещи, требуемые получить PPTP, работающий через ASA

Если сервер находится позади ASA

  1. Настройте необходимый NAT/PAT при использовании NAT/PAT (Дополнительный, но обычно необходимый)
  2. TCP/1723 разрешения ACL к серверу/IP (зависит ли реальный, отображенный, или интерфейс от версии ASA),
  3. Включите контроль PPTP
    • Явное разрешение ACL для GRE не необходимо

Если клиент находится позади ASA

  1. Включите контроль PPTP

Пример сервера

  • ASA вне интерфейса IP 1.1.1.2/30
  • Сервер в IP 10.0.0.10/24
  • Статический PAT (перенаправление портов) TCP/1723 с помощью ASA вне интерфейса IP

ASA 8.3 и более новый (с вниманием на объекты)

object network hst-10.0.0.10
 description Server
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Server TCP/1723 Static PAT Object
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2 и предшествующий

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Клиентский пример

Допустимый для всех версий ОС ASA

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Если эти примеры не соответствуют Вашему сообщению сценария Ваши специфические особенности, и мы можем настроить конфигурацию для Вас.

5
ответ дан 3 December 2019 в 01:42

Теги

Похожие вопросы