分类
基础架构

PPTP与L2TP/IPsec共存于ASA passthrough的问题

回归一个技术问题,也是最近碰到的,由于苹果iOS系统升级,原先的VPN协议已经不支持PPTP了,必须把windows 2003 server启用的PPTP升级到L2TP/IPsec。

从PPTP升级为L2TP/IPSec很简单,在服务器的属性“安全”里面,启用“为L2TP链接允许自定义IPSec策略”,并配置一个share key即可。

这样服务器端就同时支持PPTP和L2TP了。

由于Windows 2003在Cisco ASA5520里面,又开启了outside inbound的UDP 500/4500/1701端口,以及ESP和AH协议。

但是死活Iphone还是连接不上,说是服务器无响应。

尝试了N久,最终在Cisco文档一个犄角旮旯里看到这么一句话:

Multiple PPTP/L2TP Connections Fail when using PAT
You can only have one PPTP/L2TP connection through the PIX Security Appliance when you use PAT. This is because the necessary GRE connection is established over port 0 and the PIX Security Appliance only maps port 0 to one host. The workaround is to enable PPTP inspection on the security appliance.

哈哈,Trick就在这里,问题解决!