Я установил "необработанный" туннель IPSec между машиной Windows Server 2003 (SBS) и Netgear FVG318 в соответствии с инструкциями Microsoft KB816514. Конфигурация следующая (с использованием тех же соглашений, что и в статье):
NetA | SBS2003 | FVG318 | NetB
10.0.0.0/24 | 216.x.x.x | 69.y.y.y | 10.0.254.0/24
Сопоставления безопасности основного и быстрого режима успешно завершены и отображаются в мониторе IP-безопасности. Я также могу проверить связь с сервером SBS2003 по его частному адресу с любого компьютера в NetB.
Любой трафик, отправленный с компьютера через NetA в NetB или из SBS2003 в NetB (за исключением ICMP Ping ответы), отправляется через общедоступный сетевой интерфейс за пределами туннеля IPSec (без шифрования или аутентификации заголовка, как если бы туннеля не было).
Пинги, отправленные с компьютера в NetB на компьютер в NetA, успешно достигают компьютеров в NetA, но ответы автоматически отбрасываются SBS2003 (они не выходят в открытом виде и не генерируют зашифрованный трафик).
Я мог что-то напечатать где-то неправильно, или KB816514 может быть каким-то образом неверным. Я очень старался исключить первый вариант. Несколько раз пересоздавал конфигурацию, пытался безуспешно настраивать и настраивать все параметры, которые у меня были (большинство из них не позволяет установить SA).
Я видел несколько сообщений в другом месте, в которых предполагалось, что это могло быть связано с взаимодействием между NAT и фильтрами IPSec. Возможно, частные адреса NetA будут перезаписаны на 216.x.x.x перед сравнением с фильтрами IPSec быстрого режима и не будут туннелированы из-за несоответствия. Фактически, статья Cable Guy от июня 2005 г. «Пути обработки пакетов TCP / IP» предполагает, что это так (см. Шаги 2 и 4 пути транзитного трафика). Если это так, есть ли способ исключить трафик NetA-> NetB из NAT?
Любые мысли, идеи, предложения и / или комментарии приветствуются.
Не сумев решить проблему, я обратился в платную поддержку Microsoft. Они не смогли решить проблему. С тех пор я реализовал решение на базе Linux, которое работает достаточно хорошо. Я постараюсь как можно лучше оценить любые предложенные ответы, но текущие конфигурации и временные ограничения сделают это медленным ...
Проверьте свой порядок привязки. Свойства сети> Дополнительно> Расширенные настройки Переместите тот, через который вы хотите маршрутизировать, наверх.