Я новичок в туннелях IPsec. Я успешно создал туннель к внешнему маршрутизатору Cisco, используя предварительный ключ у поставщика.
В конечных точках 1: у меня есть IP-адрес серверов и IP-адрес удаленных серверов, к которым я собираюсь подключиться.
В конечной точке 2: у меня такие же IP-адреса, как указано выше
В конечной точке туннеля ipsec я указал IP-адрес серверов, а конечную точку 2 - маршрутизатор Cisco.
Подходит туннель. (Это видно при мониторинге и в основном режиме и в быстром режиме). Кроме того, поставщик подтверждает, что он видит наше соединение.
Однако когда мы пытаемся подключиться к одному из серверов в их сети, перечисленных в конечных точках 1 и 2 выше, он не подключается.
Поставщик утверждает, что у него есть другие клиенты, подключающиеся таким образом, и это не проблема с их стороны.
Я пробовал отслеживать трафик в wirehark, но wirehark видит трафик только в том случае, если я отключу туннель Ipsec.
РЕДАКТИРОВАТЬ: Я могу видеть трафик к туннельной точке и от нее, когда я пытаюсь подключиться к серверу через туннелендпоинт через telnet. Однако время ожидания сеанса telnet до его установления.
Любые идеи?
Я прошел через этот статью, чтобы лучше понять, какая у вас конфигурация. Ваш локальный компьютер (или сервер, с которого будет инициирован туннель) должен быть указан в «Конечной точке 1», а также в «локальном туннельном компьютере». В поле «удаленный туннельный компьютер» должен быть указан IP-адрес вашего маршрутизатора, на котором туннель заканчивается. Серверы, к которым вы хотите подключиться на другом конце, должны быть перечислены в «Конечной точке 2».
Поскольку вы можете успешно согласовывать ассоциации безопасности, я не думаю, что какие-либо изменения требуются в вашей конфигурации туннеля. Однако, пожалуйста, проверьте свой локальный и удаленный IP-адрес. Если в этих фильтрах есть ошибка, трафик генерироваться не будет. Если возможно, попробуйте инициировать трафик на удаленные конечные точки и запустить Wireshark с соответствующими фильтрами.
РЕДАКТИРОВАТЬ: я прилагаю снимок экрана с трафиком IPsec, захваченным в Wireshark. Вы можете ясно видеть, как сначала устанавливаются ассоциации безопасности в основном режиме, а в быстром режиме устанавливается всякий раз, когда через туннель проходит трафик. Я намеренно удалил столбцы «Источник» и «Назначение».
У меня тоже есть эта проблема (Windows Server 2012R2 Evaluation), и я решил ее с помощью этот обходной путь. Проблема возникает, когда вы включили NAT в интерфейсе с выходом в Интернет для доступа в Интернет в локальной сети. Перед шифрованием трафик, генерируемый в локальной сети с местом назначения в удаленной локальной сети, преобразуется через NAT. Cisco получает этот зашифрованный пакет, расшифровывает его, но исходный IP-адрес расшифрованного пакета является общедоступным IP-адресом Windows Server. Поскольку это ошибка, маршрутизатор Cisco отклоняет пакет и увеличивает счетчик ошибок. Вы можете увидеть этот счетчик в маршрутизаторе Cisco с помощью команды show crypto ipsec sa detail
и счетчик появляется в pkts decaps failed (rcv)
. Также вы можете увидеть счетчики в статистике NAT в Windows Server.
Решение: в Windows Server создайте статический маршрут для удаленной локальной сети через интерфейс обратной связи (из командной строки DOS). Использовать -P
возможность сделать маршрут постоянным (постоянным до перезапуска). Например, если удаленная LAN - 10.245.0.0/16, команда будет следующей:
route -P add 10.245.0.0 mask 255.255.0.0 0.0.0.0 if 1
К сожалению, мне не удалось найти другой способ избежать NAT трафика, направляемого в удаленную локальную сеть через туннель ipsec.