Как заставить Sun NFS работать через VPN-соединение Cisco ASA с минимальным количеством открытых портов?

Я сделал тест службы NFS через межсетевой экран Cisco ASA 5505.

При использовании обычного интерфейса ACL по умолчанию, который "разрешает ip any any" на внутреннем интерфейсе (уровень 100), "запрещает ip any any" на внешнем интерфейсе (уровень 0). Сервер NFS подключен к внешнему интерфейсу. Все отлично работает. Посмотрев, как проходят пакеты, я вижу, как внутри ПК вызывается порт 111 NFS-сервера, согласовывается порт с помощью portmap. Завершено это TCP соединение. Затем NFS-сервер (вне ПК) использует согласованный порт для подключения к внутреннему ПК и передачи данных. Брандмауэр Cisco ASA очень хорошо хранит состояния TCP и "запоминает" согласованный порт, поэтому пусть внешний ПК, использующий этот порт для связи с внутренним ПК, даже внешний ACL, "запрещает ip any any". Брандмауэр полностью настроен, пока что все отлично.

Однако до тех пор, пока я подключал сервер NFS (вне ПК) к брандмауэру Cisco ASA, используя VPN. Все изменилось. Посмотрев на пакеты, NFS все еще может проходить через брандмауэр и согласовывать порт с помощью portmap. Пока после этого TCP сессия окончена. Брандмауэр ЗАБУДЬТЕ согласованный порт и заблокируйте внешний компьютер, используя согласованный порт для обратной связи с внутренним компьютером.

С или без VPN - единственное изменение. Есть только один ACL, на внутреннем интерфейсе, разрешите ip любой любой. NFS-сервер настроен на доступ из любой подсети. На этом брандмауэре нет NAT и политики обслуживания.

Может кто-нибудь объяснить, почему правила брандмауэра Cisco больше не "сохраняют состояние" по VPN? Это предназначено, чтобы быть? Как лучше всего разрешить NFS работать через VPN без открытия ряда динамических портов на внешнем интерфейсе?