Назад | Перейти на главную страницу

Windows Server FIrewall (2012) Проблемы с туннелем IPsec

Я новичок в туннелях IPsec. Я успешно создал туннель к внешнему маршрутизатору Cisco, используя предварительный ключ у поставщика.

В конечных точках 1: у меня есть IP-адрес серверов и IP-адрес удаленных серверов, к которым я собираюсь подключиться.

В конечной точке 2: у меня такие же IP-адреса, как указано выше

В конечной точке туннеля ipsec я указал IP-адрес серверов, а конечную точку 2 - маршрутизатор Cisco.

Подходит туннель. (Это видно при мониторинге и в основном режиме и в быстром режиме). Кроме того, поставщик подтверждает, что он видит наше соединение.

Однако когда мы пытаемся подключиться к одному из серверов в их сети, перечисленных в конечных точках 1 и 2 выше, он не подключается.

Поставщик утверждает, что у него есть другие клиенты, подключающиеся таким образом, и это не проблема с их стороны.

Я пробовал отслеживать трафик в wirehark, но wirehark видит трафик только в том случае, если я отключу туннель Ipsec.

РЕДАКТИРОВАТЬ: Я могу видеть трафик к туннельной точке и от нее, когда я пытаюсь подключиться к серверу через туннелендпоинт через telnet. Однако время ожидания сеанса telnet до его установления.

Любые идеи?

Я прошел через этот статью, чтобы лучше понять, какая у вас конфигурация. Ваш локальный компьютер (или сервер, с которого будет инициирован туннель) должен быть указан в «Конечной точке 1», а также в «локальном туннельном компьютере». В поле «удаленный туннельный компьютер» должен быть указан IP-адрес вашего маршрутизатора, на котором туннель заканчивается. Серверы, к которым вы хотите подключиться на другом конце, должны быть перечислены в «Конечной точке 2».

Поскольку вы можете успешно согласовывать ассоциации безопасности, я не думаю, что какие-либо изменения требуются в вашей конфигурации туннеля. Однако, пожалуйста, проверьте свой локальный и удаленный IP-адрес. Если в этих фильтрах есть ошибка, трафик генерироваться не будет. Если возможно, попробуйте инициировать трафик на удаленные конечные точки и запустить Wireshark с соответствующими фильтрами.

РЕДАКТИРОВАТЬ: я прилагаю снимок экрана с трафиком IPsec, захваченным в Wireshark. Вы можете ясно видеть, как сначала устанавливаются ассоциации безопасности в основном режиме, а в быстром режиме устанавливается всякий раз, когда через туннель проходит трафик. Я намеренно удалил столбцы «Источник» и «Назначение».

У меня тоже есть эта проблема (Windows Server 2012R2 Evaluation), и я решил ее с помощью этот обходной путь. Проблема возникает, когда вы включили NAT в интерфейсе с выходом в Интернет для доступа в Интернет в локальной сети. Перед шифрованием трафик, генерируемый в локальной сети с местом назначения в удаленной локальной сети, преобразуется через NAT. Cisco получает этот зашифрованный пакет, расшифровывает его, но исходный IP-адрес расшифрованного пакета является общедоступным IP-адресом Windows Server. Поскольку это ошибка, маршрутизатор Cisco отклоняет пакет и увеличивает счетчик ошибок. Вы можете увидеть этот счетчик в маршрутизаторе Cisco с помощью команды show crypto ipsec sa detail и счетчик появляется в pkts decaps failed (rcv). Также вы можете увидеть счетчики в статистике NAT в Windows Server.

Решение: в Windows Server создайте статический маршрут для удаленной локальной сети через интерфейс обратной связи (из командной строки DOS). Использовать -P возможность сделать маршрут постоянным (постоянным до перезапуска). Например, если удаленная LAN - 10.245.0.0/16, команда будет следующей:

route -P add 10.245.0.0 mask 255.255.0.0 0.0.0.0 if 1

К сожалению, мне не удалось найти другой способ избежать NAT трафика, направляемого в удаленную локальную сеть через туннель ipsec.