Eu estou olhando para endurecer um servidor Win2k3 que fala com um ramo através de uma conexão baseada em túnel IPsec. O firewall do Windows 2k3 não oferece controle de comunicações de saída, portanto, recorri à diretiva IPsec. Estou testando isso com algumas VMs e tenho as seguintes regras:
O RDP ainda funciona, as solicitações de DNS funcionam. Mas quando eu faço ping no outro endpoint, resulta em:
Negotiating IP Security
Destination host unreachable.
Destination host unreachable.
Destination host unreachable.
Assim que eu tirar a regra de negar tudo, o túnel fica bem.
Eu tentei criar uma regra de permissão para o UDP 500 (ike). Mas assim que você coloca 500, ele diz que você não pode estabelecer um túnel baseado no protocolo ike. Então isso acabou.
Eu tentei criar uma regra adicional com os dois IPs do ponto de extremidade e permitir o tráfego. No entanto, isso supera a regra de segurança de negociação e nenhum túnel é tentado a ser criado.
Estou muito bem sem ideias.