Túnel IPSec do Windows Server 2003 conectado, mas não funcionando (possivelmente relacionado a NAT / RRAS)

5

Configuração

Eu configurei um túnel IPSec "bruto" entre uma máquina Windows Server 2003 (SBS) e um Netgear FVG318 de acordo com as instruções na Microsoft KB816514 . A configuração é a seguinte (usando as mesmas convenções do artigo):

NetA         | SBS2003   | FVG318   | NetB
10.0.0.0/24  | 216.x.x.x | 69.y.y.y | 10.0.254.0/24

As associações de segurança no modo principal e no modo rápido são concluídas com êxito e aparecem no Monitor de segurança IP. Eu também sou capaz de fazer ping no servidor SBS2003 em seu endereço privado de qualquer computador no NetB.

O problema

Qualquer tráfego enviado de um computador na NetA para a NetB, ou da SBS2003 para a NetB (excluindo respostas ICMP Ping ), é enviado na interface de rede pública fora do túnel IPSec (sem criptografia ou cabeçalho) autenticação, como se o túnel não estivesse lá).

Pings enviados de um computador no NetB para um computador na NetA alcançam com sucesso computadores na NetA, mas as respostas são silenciosamente descartadas pelo SBS2003 (elas não são apagadas e não geram tráfego criptografado).

Soluções possíveis

Configuração Incorreta

Eu poderia ter digitado errado algo, em algum lugar, ou KB816514 poderia estar incorreto de alguma forma. Eu tentei muito arduamente eliminar a primeira opção. Recriei a configuração várias vezes, tentei ajustar e ajustar todas as configurações que consegui sem sucesso (a maioria impede que o SA seja estabelecido).

NAT / RRAS

Eu tenho visto várias postagens em outros lugares sugerindo que isso pode ser devido à interação entre o NAT e os filtros IPSec. Possivelmente, os endereços privados NetA são reescritos para 216.x.x.x antes de serem comparados com os filtros IPSec do Modo Rápido e não são canalizados devido à incompatibilidade. Na verdade, o artigo The Cable Guy de junho de 2005 "Caminhos de processamento de pacotes TCP / IP" sugere que esse é o caso (consulte as etapas 2 e 4 do caminho de tráfego de trânsito). Se esse for o caso, existe uma maneira de excluir o tráfego NetBase do NetB do NAT?

Quaisquer pensamentos, ideias, sugestões e / ou comentários são apreciados.

Atualização (2011-06-26)

Depois de não conseguir resolver o problema, recorri ao suporte pago da Microsoft. Eles não conseguiram resolver o problema. Desde então, implementei uma solução baseada em Linux que está funcionando muito bem. Tentarei avaliar as respostas propostas da melhor maneira possível, mas as configurações atuais e as restrições de tempo tornarão isso lento ...

    
por Kevinoid 24.12.2010 / 22:30

1 resposta

0

Verifique sua ordem de ligação. Propriedades de rede > Avançado > Configurações avançadas Mova o caminho para o qual deseja que seja encaminhado para o topo.

    
por 24.05.2011 / 14:44