Traversée de PPTP sur Cisco ASA 5505 (8.2)

La configuration par défaut de l'ASA ne prend pas en charge le transfert en mode de passe par défaut PPTP - c'est fou de se demander pourquoi. Il est probable que le TAC de Cisco reçoive une poignée de cas liés à cela...

Il y a au maximum trois choses nécessaires pour faire fonctionner le PPTP à travers un ASA

Si le serveur est derrière l'ASA

1. Configurer le NAT/PAT nécessaire si vous utilisez NAT/PAT (Optionnel mais généralement requis)
2. ACL permettre TCP/1723 vers le serveur/IP (peu importe s'il s'agit du réel, du mappé, ou de l'interface selon la version de l'ASA)
3. Activer l'inspection PPTP
   • L'ACL explicite permettant le GRE n'est pas nécessaire

Si le client est derrière l'ASA

1. Activer l'inspection PPTP

Exemple du serveur

• Adresse IP de l'interface extérieure de l'ASA 1.1.1.2/30
• Adresse IP interne du serveur 10.0.0.10/24
• PAT statique (transfert de port) TCP/1723 en utilisant l'adresse IP de l'interface extérieure de l'ASA

ASA 8.3 et versions ultérieures (avec mise au point sur les objets)

object network hst-10.0.0.10
 description Serveur
 host 10.0.0.10
object network hst-10.0.0.10-tcp1723
 description Objet PAT statique TCP/1723 du serveur
 host 10.0.0.10
 nat (inside,outside) static interface service tcp 1723 1723

object-group service svcgrp-10.0.0.10 tcp
 port-object eq 1723

access-list outside_access_in extended permit tcp any object hst-10.0.0.10 object-group svcgrp-10.0.0.10-tc
access-group outside_access_in in interface outside

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

ASA 8.2 et versions antérieures

access-list outside_access_in extended permit tcp any interface outside eq 1723

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 1723 10.0.0.10 1723 netmask 255.255.255.255

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Exemple du client

Valide pour toutes les versions du système d'exploitation de l'ASA

class-map inspection_default
 match default-inspection-traffic

policy-map global_policy
 class inspection_default
  inspect pptp

service-policy global_policy global

Si ces exemples ne correspondent pas à votre scénario, postez vos spécificités et nous pouvons personnaliser une configuration pour vous.

Oui, c'est parfaitement possible (et c'est ainsi que j'utilise PPTP ici).

1. Créez une règle de pare-feu dans la liste d'accès liée à votre interface EXTERNE pour autoriser tout paquet entrant utilisant pptp à passer.
2. Créez une règle NAT sur l'interface interne qui redirige tous les paquets entrants sur le port pptp vers un serveur interne

Vous devez également "inspecter" le trafic PPTP. Ajouter cela a résolu le problème pour moi.