Cisco ASA - GRE / PPTP-Passthrough

[bnice]

Nach und nach wächst die ASA-Konfig und deckt bald auch alle Funktionen ab, die der 871 vorher inne hatte ...
Aktuell kämpfe ich allerdings noch damit, PPTP-Verbindungen von internen Clients nach außen zu erlauben, bzw. zu natten.
Auf dem Router genügten dazu folgende Befehle:

NAT-Regel:

Code:

ip nat source static tcp x.x.x.0 1723 interface Dialer1 1723

ACL auf dem internen Interface:

Code:

permit gre any any

ACL auf dem externen Interface:

Code:

permit gre host IP_ext Host host Eig_Pub_IP

Die NAT-Regel konnte ich auf der ASA ähnlich umsetzen, allerdings jeweils nur für einen internen Host:

Code:

static (inside,outside) tcp interface pptp IP_int_Host pptp netmask 255.255.255.255

Die GRE-ACLs habe ich auch für intern und extern eingepflegt, zählt (zumindest für intern) auch fleißig hoch.
Dennoch kommt die Verbindung nicht vollständig zustande, bleibt bei "Benutzername und Kennwort werden verifiziert" hängen.

Das Debug vom ASDM sagt dazu:

Code:

3	Feb 04 2010	07:34:17	305006	pubIP_externerHost		 regular translation creation failed for protocol 47 src inside:x.x.x.x dst outside:pubIP_externerHost

Also vermutlich noch ein NAT-Problem ??

[blackbox]

Hi,

evtl. hilft die da ja PPTP Through ASA

[bnice]

Zitat von blackbox Hi, evtl. hilft die da ja PPTP Through ASA

Hatte ich schon mal grob überflogen, aber dabei noch nichts hilfreiches gesehen. Werd ich mir nochmal genauer anschauen.

Einen kleinen Fehler hab ich aber schon gefunden, der allerdings keine Auswirkungen hatte.
Und zwar hatte ich die ACL fürs interne Netz falsch angebunden:

Code:

access-group inside_rule in interface inside

und hab das mal korrigiert in

Code:

access-group inside_rule out interface inside

Jetzt machen die Regeln darin auch Sinn

Outgoing (also

Code:

access-group bla in interface inside

greift die Default-Regel, also permit to less secure.
Jetzt ist die Frage - muss ich hier noch explizit GRE angeben?

[bnice]

War nicht mehr viel zu ändern - nur noch inspect für PPTP aktivieren, danach lief's!
Jetzt stellt sich nur noch die Frage, ob das ganze auch für einen ganzen internen Subnetz-Bereich statt für einzelne Clients machbar ist ?

UPDATE:
Funktioniert auch für andere Clients - die static NAT Regel konnte ich löschen

Code:

static (inside,outside) tcp interface pptp IP_int_Host pptp netmask 255.255.255.255

ebenso die Regel in der outside ACL:

Code:

permit gre host IP_ext Host host Eig_Pub_IP

Jetzt muss ich langsam schon suchen, was auf der ASA nicht geht ;-)

[blackbox]

Hi,

eigentlich brauchst du nur die Inspect aktivieren - dann geht PPTP - da ich aber nicht weiss welche Regeln du von innen nach aussen hast - ist das schwer zu sagen. Von aussen nach innen brauchst du dafür keine Rule