我已经在8.2的ASA 5505上工作了。 它有两个接口,LAN /内部和WAN /外部。 从本地ASA的外部接口到远程F / W的外部接口(本地内部主机.1 / 32和远程内部主机.1 / 32之间)configuration了L2站点到站点IPSec隧道。
我想为单个端口启用端口转发到本地ASA的外部IP以转发到内部主机
如果我在CLI中应用以下configuration,这将允许在不中断IPSec隧道的情况下进行所需的通信? 我是ASA的新手,不想停止所需的端口(UDP 500/4500),以免触及外部接口和IPSec隧道或类似的东西。
access-list outside_access_in extended permit tcp any interface outside eq 555 static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255 目前没有outside_access_in,所以如果我添加这个,它会执行一个隐式否定任何后,并停止IPSec隧道?
几乎 – 你也需要一个access-group命令来把它应用到接口的入站stream量。
和不; 你已经拥有的crypto isakmp enable outside应该是所有需要保持VPN。 考虑你当前的configuration – 假设你的外部接口是最低的安全级别,那么该接口上的策略已经被设置为隐式deny any any 。
但是,也许在下class时间打开开关,以防万一有关于你的configuration的东西,我不认为可以打破它。