Приветствую.
Есть ASA5510. Есть внутренняя сетка и есть сервер на внешнем интерфейсе, к которому из внутренней сети хоcт обращаеться должен по PPTP. Не могу понять, глючит ли это сервер или ASA не пропускает запросы. Что не так в конфиге? Конфиг, относящий к этому такой (там в списках доступа даже лишние разрешения есть, но все равно не работает) + то, что в конце, т.е. файервол и т.п (inspect pptp и включал и отключал, не меняется ничего):--------------------------------------------
interface Ethernet0/0
.nameif lan
.security-level 75
.ip address 172.16.1.1 255.255.255.0
interface Ethernet0/2
.nameif outside
.security-level 30
.ip address 192.168.5.10 255.255.255.0
--------------------------------------------
static (local,rks) 192.168.5.25 172.16.1.5 netmask 255.255.255.255
--------------------------------------------
access-list LAN extended permit gre host 172.16.1.5 192.168.5.30
access-list LAN extended permit tcp host 172.16.1.5 192.168.5.30 eq pptp
access-list LAN extended permit tcp host 172.16.1.5 192.168.5.30
access-list LAN extended permit ip host 172.16.1.5 any
access-group LAN in interface lan
--------------------------------------------
access-list LAN extended permit gre 192.168.5.30 host 192.168.5.25
access-list LAN extended permit tcp 192.168.5.30 host 192.168.5.25 eq pptp
access-list LAN extended permit tcp 192.168.5.30 host 192.168.5.25
access-list LAN extended permit ip any host 192.168.5.25
access-group LAN in interface outside
--------------------------------------------
route outside 0.0.0.0 0.0.0.0 192.168.5.30 1
--------------------------------------------
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication serial console LOCAL
http server enable
http 172.16.1.0 255.255.255.0 lan
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 172.16.1.0 255.255.255.0 lan
ssh timeout 10
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username ****** password ******* encrypted privilege 15
!
class-map inspection_default
.match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
.parameters
..message-length maximum 512
policy-map global_policy
.class inspection_default
..inspect dns preset_dns_map
...inspect ftp
...inspect h323 h225
...inspect h323 ras
...inspect rsh
...inspect rtsp
...inspect esmtp
...inspect sqlnet
...inspect skinny
...inspect sunrpc
...inspect xdmcp
...inspect sip
...inspect netbios
...inspect tftp
...inspect pptp
!
service-policy global_policy global
prompt hostname context
В чем может быть проблема? Как вообще посмотреть, блокирует ли ASA запросы от хоста или нет? Правильна ли настрока ASA, и тогда проблема в сервере?
P.S. debug pptp ничего не дает, вообще ничего не дает. Доступа к серверу нет. Адрес 192.168.5.30 пингуется.
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 11-Июн-09, 22:39 
