Коллеги, добрый день! Есть проблема с прохождением PPTP через PAT ASA. PPTP инициализируется внутри нашей сети на внешний VPN-сервер.
На АСА с IOS 8.4 от провайдера заведён ethernet-trunk. Между маршрутизатором прова и асой подсеть /30. Нам выделен префикс /28 с публичными адресами.
Настроил PAT, для трансляции используется адрес исходящего интерфейса:
object network LAN
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dyn interface
Всё работает, PPTP работает
Не хочу использовать для PAT трансляции адрес из префикса /30. Хочу для PAT адрес из нашей публичной сетки /28. Настраиваю PAT на этот адрес:
object network LAN
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic x.x.x.223
Всё остальное работает, кроме PPTP. Долго пишет "проверка имени и пароля", потом ошибка "не удалось соединиться с сервером"
Ок, делаем ещё один фокус:
object network LAN
host 192.168.0.10
nat (inside,outside) static x.x.x.223
PPTP работает.
Из чего я делаю вывод, что PPTP через PAT на ASA будет работать только через IP-адрес, который установлен на исходящем интерфейсе. Статическое сопоставление не интересно тем более. Есть другие соображения?
На АСА с IOS 8.4 от провайдера заведён ethernet-trunk. Между маршрутизатором прова и асой подсеть /30. Нам выделен префикс /28 с публичными адресами.
Настроил PAT, для трансляции используется адрес исходящего интерфейса:
object network LAN
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dyn interface
Всё работает, PPTP работает
Не хочу использовать для PAT трансляции адрес из префикса /30. Хочу для PAT адрес из нашей публичной сетки /28. Настраиваю PAT на этот адрес:
object network LAN
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic x.x.x.223
Всё остальное работает, кроме PPTP. Долго пишет "проверка имени и пароля", потом ошибка "не удалось соединиться с сервером"
Ок, делаем ещё один фокус:
object network LAN
host 192.168.0.10
nat (inside,outside) static x.x.x.223
PPTP работает.
Из чего я делаю вывод, что PPTP через PAT на ASA будет работать только через IP-адрес, который установлен на исходящем интерфейсе. Статическое сопоставление не интересно тем более. Есть другие соображения?