PPTP通过Cisco ASA 5505（8.2）

如果外部IP地址也用于PAT，是否可以设置PPTP VPN通信（客户端外部和服务器内部）以通过Cisco ASA 5505？

思科示例转发从外部到内部VPN服务器的所有NATstream量。我目前只有一个IP可用，需要PAT。

股票ASAconfiguration默认情况下不包括对PPTP直通的支持 – 对于为什么。思科TAC可能会得到一些与此有关的案例…

通过ASA获得PPTP至多需要三件事情

如果服务器在ASA之后

如果使用NAT / PATconfiguration必要的NAT / PAT（可选但通常是必需的）
ACL允许TCP / 1723到服务器/ IP（实际，映射或接口取决于ASA版本）
启用PPTP检查
- 用于GRE的显式ACL许可不是必需的

如果客户端在ASA后面

启用PPTP检查

服务器示例

ASA外部接口IP 1.1.1.2/30
IP 10.0.0.10/24内的服务器
静态PAT（端口转发）使用ASA外部接口IP的TCP / 1723

ASA 8.3和更新版本（重点关注对象）

object network hst-10.0.0.10 description Server host 10.0.0.10 object network hst-10.0.0.10-tcp1723 description Server TCP/1723 Static PAT Object host 10.0.0.10 nat (inside,outside) static interface service tcp 1723 1723 object-group service svcgrp-10.0.0.10 tcp port-object eq 1723 access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tcp access-group outside_access_in in interface outside class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect pptp service-policy global_policy global

ASA 8.2及更早版本

 access-list outside_access_in extended permit tcp any interface outside eq 1723 access-group outside_access_in in interface outside static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect pptp service-policy global_policy global

客户端示例

适用于所有ASA OS版本

 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect pptp service-policy global_policy global

如果这些示例不适合您的scheme发布您的具体情况，我们可以为您定制一个configuration。

是的，这是完全可能的（以及我在这里如何使用PPTP）。

在绑定到OUTSIDE接口的访问列表上创build一个防火墙规则，以允许任何使用pptp的传入数据包通过。
在内部接口上创buildNAT规则，将pptp端口上的所有传入数据包redirect到内部服务器

您还需要“检查”PPTPstream量。添加，解决了我的问题。