» » Транзит PPTP соединений через PIX или ASA

Лаборатория Сетей Cisco
 
 
 

Транзит PPTP соединений через PIX или ASA

Автор: HunSolo от 8-07-2013, 14:49, посмотрело: 4126

0 Этот документ описывает необходимую конфигурацию для PIX Firewall, чтобы разрешить PPTP клиенту соединяться с PPTP сервером через NAT.

PPTP описан в RFC 2637. Этот протокол использует TCP соединение порт 1723 и GRE (протокол 47) для переноса данных (PPTP фрэймов). TCP соединение инициируется клиентом, за которым следует GRE соединение, инициируемое сервером.

PIX/ASA версии 7.х и выше
С версии PIX 6.3 введена функция pptp fixup, позволяющая PPTP трафику проходить через PIX с PAT. В этом процессе выполняется stateful инспекция PPTP пакетов. С версии PIX/ASA 7.х была команда изменена на inspect pptp. Данная команда инспектирует PPTP пакеты и динамически создает GRE соединения и трансляции, необходимые для прохождения PPTP трафика. ASA инспектирует версию PPTP и последовательности исходящих вызовов (запрос/ответ). Инспектируется только PPTP версия 1, определенная в RFC 2637. Дальнейшее инспектирование TCP канала отключается, если версия PPTP анонсируемая любой из сторон отлична от версии 1.

PPTP с клиентом на inside интерфейсе, а server на outside


Сетевая диаграмма показана на рисунке

Транзит PPTP соединений через PIX или ASA

Команды необходимые для версии 7 и выше

Здесь необходимо добавить инспекцию PPTP в политику по умолчанию работающую на PIX/ASA.
policy-map global_policy
   class inspection_default
    inspect pptp


Здесь нет необходимости использовать статическую трансляцию, т.к. уже включена инспекция pptp, поэтому мы можем использовать PAT
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 interface


Команды необходимые для версии PIX 6.3
Для версии 6.3 все намного проще - Включаем инспекцию протокола PPTP 1723 глобально в конфиге
fixup protocol pptp 1723


Также нет необходимости использовать статическую трансляцию, т.к. уже включена инспекция pptp, поэтому мы можем использовать PAT
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
global (outside) 1 interface

PPTP c клиентом на outside, а сервер на inside стороне


В данном примере, PPTP сервер имеет IP 209.165.201.5 (статик на 10.48.66.106), а PPTP клиент это 209.165.201.25

Транзит PPTP соединений через PIX или ASA

Нижеследующие команды одинаковы для всех версий.
access-list acl-out permit gre host 209.165.201.25 host 209.165.201.5
access-list acl-out permit tcp host 209.165.201.25 host 209.165.201.5 eq 1723 

static (inside,outside) 209.165.201.5 10.48.66.106 netmask 255.255.255.255 0 0 
access-group acl-out in interface outside

Здесь обязательно необходимо использовать статическую трансляцию и ACL разрешающий GRE и TCP трафик на outside интерфейсе.



Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Ночью не спит, Мышей сторожит
Ответ:*
Введите два слова, показанных на изображении: *