使用 IPSEC 隧道將埠轉發添加到 ASA5505

我在現場有一個 8.2 的 ASA 5505 已經在工作。它有兩個介面，LAN/inside 和 WAN/outside。從本地 ASA 的外部介面到遠端 F/W 的外部介面（在本地內部主機 .1/32 和遠端內部主機 .1/32 之間）配置了 L2 站點到站點 IPSec 隧道。

我想為單個埠啟用埠轉發到本地 ASA 的外部 IP 以轉發到內部主機 .2

如果我在 CLI 中應用以下配置，這是否會在不中斷 IPSec 隧道的情況下允許所需的流量？我是 ASA 的新手，不想阻止所需的埠 (UDP 500/4500) 訪問外部介面和 IPSec 隧道的出現或類似情況。

access-list outside_access_in extended permit tcp any interface  outside eq 555
static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255

目前沒有 outside_access_in 所以如果我添加它，它會在之後實現隱式拒絕並停止 IPSec 隧道嗎？

幾乎 - 您還需要一個access-group命令才能將其應用於介面的入站流量。

和不; 您已經擁有的crypto isakmp enable outside應該是保持 VPN 正常執行所需的全部內容。考慮您目前的配置 - 假設您的外部介面是最低安全級別，那麼該介面上的策略已經設置為隱式deny any any.

不過，也許可以在下班時間關閉開關，以防萬一您的配置有一些我不認為會破壞它的東西。

引用自：https://serverfault.com/questions/354285