Кто-нибудь успешно создал туннель IPSec site-to-site между Windows Server 2003 или 2008 и маршрутизатором Cisco?
Мы попробовали шаги, описанные в:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b12b5.shtml
Но не повезло.
Спасибо, Деян
Нет.
На прошлой неделе я провел целых два дня, пытаясь сделать то же самое, и потерпел неудачу. Я обнаружил, что это плохо документированная тема, и через два дня просто сдался.
Я действительно заставил это работать, но с различными конфигурациями на стороне Windows я мог получить только одну или другую сторону, чтобы иметь возможность создать туннель, но никогда обе. После создания туннеля обе стороны могут связываться друг с другом через туннель, но только если, например, маршрутизатор Cisco инициировал туннель.
Вы можете найти мою конфигурацию Cisco в этом посте и, возможно, другую информацию, которая может помочь от это сообщение serverfault, которое я сделалхотя я сказал XP, я пробовал и с 2003. Вот статья о том, как получить журналы ошибок для Windows. Со стороны Cisco вы можете включить различную криптографическую отладку с помощью debug crypto ? где вопросительный знак покажет вам варианты.
Со стороны Windows, если вы видите сбой в основном режиме, это будет первоначальное согласование ike в части General - Advanced вашей политики. Для быстрого режима это будет часть «Согласование безопасности» действия фильтра. Для стороны cisco быстрый режим - это набор преобразований, а основной режим - это крипто-политика isakmp.
В этом документе Cisco, на который вы ссылаетесь, если вы посмотрите на фильтры, он показывает фильтры как зеркальные. Согласно Microsoft, зеркальные фильтры и фильтры для конкретных протоколов не поддерживаются в туннельном режиме.
Я также написал для себя следующее, чтобы помочь мне получить настройки Windows:
Есть «Политики безопасности IP». Каждая политика имеет параметры IKE (фаза 1 или основной режим). К каждой политике также могут применяться правила. Правило может иметь один фильтр, одно действие фильтра, необязательную конечную точку туннеля и метод аутентификации. Фильтр выбирает, какой трафик будет соответствовать, и применяет к нему правило. Фильтр можно описать в терминах адреса источника, адреса назначения и / или протоколов и портов.
Фильтры - это то место, где мой тест сломался, я думаю, для Microsoft - Cisco, если бы я использовал IP-адрес Windows и IP-адрес Cisco в качестве пункта назначения, это не сработало бы, мне пришлось указать ЛЮБОЙ IP-адрес в качестве пункта назначения и установить протокол для фильтр ICMP для моего теста (хотя они не должны работать).
В целом, я обнаружил, что это нестандартная технология, плохо документированная и, если вы не можете сказать, разочаровывающая. Раньше я без проблем настраивал VPN между сайтами с Cisco to Cisco. Если вы добьетесь надежной работы, опубликуйте, что вы сделали. Извините, если этот пост немного бессвязный, надеюсь, что-то здесь может вам помочь.