Cisco

使用 IPSEC 隧道將埠轉發添加到 ASA5505

  • January 27, 2012

我在現場有一個 8.2 的 ASA 5505 已經在工作。它有兩個介面,LAN/inside 和 WAN/outside。從本地 ASA 的外部介面到遠端 F/W 的外部介面(在本地內部主機 .1/32 和遠端內部主機 .1/32 之間)配置了 L2 站點到站點 IPSec 隧道。

我想為單個埠啟用埠轉發到本地 ASA 的外部 IP 以轉發到內部主機 .2

如果我在 CLI 中應用以下配置,這是否會在不中斷 IPSec 隧道的情況下允許所需的流量?我是 ASA 的新手,不想阻止所需的埠 (UDP 500/4500) 訪問外部介面和 IPSec 隧道的出現或類似情況。

access-list outside_access_in extended permit tcp any interface  outside eq 555
static (inside,outside) tcp interface 555 192.168.0.2 555 netmask 255.255.255.255

目前沒有 outside_access_in 所以如果我添加它,它會在之後實現隱式拒絕並停止 IPSec 隧道嗎?

幾乎 - 您還需要一個access-group命令才能將其應用於介面的入站流量。

和不; 您已經擁有的crypto isakmp enable outside應該是保持 VPN 正常執行所需的全部內容。考慮您目前的配置 - 假設您的外部介面是最低安全級別,那麼該介面上的策略已經設置為隱式deny any any.

不過,也許可以在下班時間關閉開關,以防萬一您的配置有一些我不認為會破壞它的東西。

引用自:https://serverfault.com/questions/354285