Назад | Перейти на главную страницу

Windows 2008 R2 IPSEC-туннель site-to-site с Juniper: туннель работает, но пакеты теряются

Я застрял в этой задаче почти на 2 дня. Организовал IPSEC-туннель типа «сеть-сеть» между Juniper и компьютером Windows2008R2 (для справки назовем его W2008R2). W2008R2 - это многосетевой компьютер (2 сетевых адаптера) с установленным и включенным RRAS.

СЕТЬ W2008R2 ВЫГЛЯДИТ СЛЕДУЮЩИМ ПУТИ:

Первый адаптер W2008R2 подключен к Интернету и имеет назначенный публичный IP-адрес (он также является конечной точкой туннеля). Другой адаптер подключен к локальной сети за сервером и имеет локальный IP-адрес 192.168.208.13. Внутри этой локальной сети есть другие компьютеры с локальными IP-адресами, например 192.168.208.11. Здесь все могут пинговать друг друга, брандмауэры полностью отключены на всех локальных адаптерах LAN.

СЕТЬ JUNIPER ВЫГЛЯДИТ СЛЕДУЮЩИМ ПУТИ:

У Juniper есть открытый интерфейс, подключенный к Интернету, и локальный интерфейс 192.168.255.1, подключенный к Juniper LAN. Внутри Juniper LAN есть другие компьютеры, например 192.168.255.11 и т. Д. Здесь все могут пинговать друг друга, брандмауэры полностью отключены на всех локальных адаптерах LAN.

Что теперь происходит:

  1. Туннель запущен, поэтому шифрование и алгоритмы работают.

  2. Я могу пинговать 192.168.208.11 (компьютер в W2008R2-LAN) с 192.168.255.11 (компьютер в Juniper LAN) и наоборот !!! Здесь все работает.

  3. Но у меня почему-то не получается пинговать 192.168.208.13 (сетевой адаптер самого W2008R2) и наоборот.

Похоже, что пакеты маршрутизируются внутри W2008R LAN, но сам адаптер LAN недоступен.

Был бы очень признателен, если поможете решить.

Вот вывод ipconfig / all на w2008r2:

Windows IP Configuration

   Host Name . . . . . . . . . . . . : ****
   Primary Dns Suffix  . . . . . . . : ****
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : Yes
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : ****
Ethernet adapter Internet:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   Physical Address. . . . . . . . . : 00-50-56-A3-53-A2
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : A.A.A.A(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : G.G.G.G
   DNS Servers . . . . . . . . . . . : 192.168.208.11
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter LAN:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-50-56-A3-04-D5
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.208.13(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 
   DNS Servers . . . . . . . . . . . : 192.168.208.11
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{1250BC57-EC45-4A26-9772-BD8596629156}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{B14E96CE-7B9C-480D-BD9E-7DD77CDA8E80}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter 6TO4 Adapter:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft 6to4 Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : 2002:57f9:78a6::57f9:78a6(Preferred) 
   Default Gateway . . . . . . . . . : 2002:c058:6301::c058:6301
   DNS Servers . . . . . . . . . . . : 192.168.208.11
   NetBIOS over Tcpip. . . . . . . . : Disabled

А вот вывод PRINT маршрута

===========================================================================
Interface List
 18...00 50 56 a3 53 a2 ......Intel(R) PRO/1000 MT Network Connection #2
 17...00 50 56 a3 04 d5 ......Intel(R) PRO/1000 MT Network Connection
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 15...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 16...00 00 00 00 00 00 00 e0 Microsoft 6to4 Adapter
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         G.G.G.G         A.A.A.A    266
          A.A.A.0    255.255.255.0         On-link         A.A.A.A    266
          A.A.A.A  255.255.255.255         On-link         A.A.A.A    266
        A.A.A.255  255.255.255.255         On-link         A.A.A.A    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.208.0    255.255.255.0         On-link    192.168.208.13    266
   192.168.208.13  255.255.255.255         On-link    192.168.208.13    266
  192.168.208.255  255.255.255.255         On-link    192.168.208.13    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.208.13    266
        224.0.0.0        240.0.0.0         On-link           A.A.A.A    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.208.13    266
  255.255.255.255  255.255.255.255         On-link           A.A.A.A    266
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0   G.G.G.G        Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 16   1110 ::/0                     2002:c058:6301::c058:6301
  1    306 ::1/128                  On-link
 16   1010 2002::/16                On-link
 16    266 2002:57f9:78a6::57f9:78a6/128
                                    On-link
  1    306 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Я заменил реальный IP W2008R2 на A.A.A.A, а шлюз - на G.G.G.G. Вся остальная информация настоящая.