我已经为我们的网络用 Cisco ASA 5505 设备替换了老化的防火墙(使用 Linux 的自定义设置)。这是一个非常简单的设置,大约有 10 个工作站和一个 Small Business Server 2008。
为 SBS 的 SMTP、HTTPS、远程桌面等设置传入端口很顺利——它们正常工作。
但是,我没有成功允许传入的 VPN 连接。尝试连接的客户端(运行 Windows 7)在 30 秒后收到错误消息之前卡在“验证用户名和密码...”对话框中。
我们只有一个外部静态 IP,因此我无法在另一个 IP 地址上设置 VPN 连接。
我转发 TCP 端口 1723 的方式与我对 SMTP 和其他端口所做的相同,方法是添加一个静态 NAT 路由,将来自端口 1723 上的 SBS 服务器的流量转换到外部接口。
此外,我设置了一个允许所有 GRE 数据包(src any,dst any)的访问规则。
我想我必须以某种方式将传入的 GRE 数据包转发到 SBS 服务器,但这就是我被困的地方。
我正在使用 ADSM 配置 5505(不是控制台)。
很感谢任何形式的帮助!
编辑:另请参阅此处的相关问题:PPTP pass through on Cisco ASA 5505 (8.2)
只要您允许(通过必要的 NAT 和 ACL)TCP/1723 到 SBS 2008 服务器,只要启用了 ASA 的 PPTP 应用层网关 (ALG),就无需显式配置 GRE。
Cisco 过去称这些 ALG 为“fixup”,现在它们在 ASA 中被称为“inspect”。
vanilla ASA 带有使用全局策略的基本模块化策略框架 (MPF)——不幸的是,PPTP ALG 没有启用很多,这让许多 Windows 管理员感到懊恼。
从 CLI
添加
inspect pptp到您的流量类别(可能inspection_default在 中定义的流量类别global_policy)。来自 ASDM
配置(顶部)-> 防火墙(左下)-> 服务策略规则(左中)
选择可能的流量类别
inspection_default-> 单击编辑规则操作(选项卡)-> 检查 PPTP -> 确定 -> 应用
保存配置。