Comment configurer un VPN IKEv2 derrière un Cisco ASA 5505?

Je suis sûr que tout le monde est conscient que Mac a publié une mise à jour pour OSX et iOS qui supprime le support des VPN PPTP. Parce qu'ils sont simples et presque entièrement plug & play, la plupart de nos clients ont des VPN PPTP configurés. Mais avec cette dernière mise à jour, nous devons find une autre solution.

Les clients Windows et Mac prennent en charge IKEv2, il est déjà configuré sur notre server Windows et aucun client VPN tiers n'est requirejs sur l'OS. Cette solution serait complètement transparente pour tous les users finaux de Windows, ce qui nous obligerait à ne reconfigurer que les clients Mac. Tout ce qu'il faut faire est de configurer le pare-feu pour cela.

Nous hébergeons le VPN PPTP actuel sur un server Windows 2012r2. Le server est derrière un CISCO ASA 5505 exécutant ASA 8.4 (7). Sur la base de ce que j'ai recherché, j'ai besoin de créer des règles d'access et des règles NAT pour transférer les ports 500 et 4500. J'ai également lu que je dois créer un NAT 1: 1 statique pour ESP ou certaines versions d'IOS ( et je présume ASA) prend en charge "IPsec NAT Transparency", qui encapsule ESP dans un package IP sur le port 4500 (similaire au passage GRE pour PPTP). Malheureusement, toute la documentation relative à cette fonctionnalité est absente du site Web de Cisco et redirige vers une page de destination générique "End of Life".

J'ai configuré les règles d'access pour transférer les ports UDP 500 et 4500. Lorsque je crée des règles NAT pour ces ports, je reçois le message d'erreur (à partir d'ASDM):

[ERROR] nat (inside,Outside-Comcast) static interface service udp 500 500 NAT unable to reserve ports. 

Je ne sais pas pourquoi cela échoue. Je suppose qu'il y a un conflit sur l'ASA, peut-être à partir d'une configuration Cisco VPN installée sur l'ASA par défaut.

Je ne sais pas non plus comment activer IPsec NAT Transparency ou même si cette version d'ASA la supporte.

Logiciel Cisco Adaptive Security Appliance Version 8.4 (7) Gestionnaire de périphériques Version 7.3 (3)

Je me rends count que le message d'erreur NAT est très spécifique à ma configuration, et je peux partager la configuration en cours d'exécution si nécessaire, mais j'espère que quelqu'un pourrait connaître le haut de leur tête "oh oui, XYZ est activé par défaut et vous doit d'abord l'éteindre ".

Tout conseil sur NAT IPsec serait très utile. S'il y a une documentation qui me dit si cette version d'ASA la supporte ou s'il y a une autre, une fonctionnalité plus récente que nous pouvons activer est la même chose.

Vous devez autoriser IPSEC passthrough sur le pare-feu. Si vous disposez d'une adresse IP publique disponible, faites un NAT 1: 1 de l'adresse IP publique à l'adresse IP privée du server VPN. Tous doivent faire à ce moment-là, append une ACE qui permet aux ports de se connecter au server VPN.

Une discussion à ce sujet se trouve sur le site de support de Cisco. https://supportforums.cisco.com/discussion/10160506/ipsec-passthrough-asa5505