Inspeccion PPTP en el ASA

Buenas ,

Cuando hablamos de PPTP atraves del ASA debemos de recordar que PPTP es un protocolo que va a estar basado en una conexion de control que va sobre TCP puerto 1723.

Posterior a esta sesion se iniciara una conexion GRE(Protocolo IP 47) en la cual iran los datos encapsulados.

Nota:

  • El Cliente inicia la conexion hacia el servidor en puerto TCP 1723

  • El Servidor inicia la conexion GRE

A la hora de configurar nuestro ASA en versiones anteriores a 8.3 debido al hecho de que no podemos hacer un port-forwarding para la conexion GRE (no utiliza puertos) debiamos de tener disponible una IP para realizar un NAT statico (Bidireccional).

Ejemplo en 8.2

Servidor PPTP en el inside: 192.168.12.2

static (inside,outside) 50.50.50.50 192.168.12.2

access-list outside_in permit tcp any host 50.50.50.50 eq 1723

access-list outside_in permit gre any host 50.50.50.50

access-group outside_in in interface outside

Como vemos es necesario un NAT bidireccional o statico ya que no podemos realizar una configuracion de redireccionamiento de puertos con GRE (No utiliza puertos)

Las Buenas Noticias:

A partir de 8.3 tenemos la potestad de utilizar la inspeccion de PPTP para olvidarnos del hecho de tener que obtener una IP disponible para poder conectarnos al PPTP server.

Ejemplo en 8.3

Servidor PPTP en el Inside 192.168.12.2

Solamente tenemos una IP disponible en la interface del Outside (La que esta asignada a dicha interface 50.50.50.1)

En 8.2 o versiones anteriores no hubieramos podido llevar a cabo la configuracion ya que necesitamos una IP disponible (GRE no usa puertos)

En 8.3 realizamos el redireccionamiento de puertos de TCP 1723, habilitamos la inspeccion de PPTP y el ASA hara el resto del trabajo

object network PPTP_Servidor

host 192.168.12.2

object service PPTP_TCP

service tcp source eq 1723

nat (inside,outside) source static PPTP_Servidor interface service PPTP_TCP PPTP_TCP

access-list outside_in permit tcp any host 192.168.12.2 eq 1723

access-group outside_in in interface outside

policy-map global-policy

class class_default

inspect pptp

Alguna consulta o pregunta a julio17carvajal@hotmail.com o jcarvaja@cisco.com

Saludos desde Costa Rica

Julio Carvajal

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎07-02-2013 05:07 PM
Actualizado por:
 
Etiquetas (1)