Назад | Перейти на главную страницу

Проблемы с пакетами в туннеле IPSEC для Windows 2008 R2

У меня есть сеть с сервером Windows 2008 R2 с маршрутизацией и удаленным доступом, установленным на облачной платформе с ПУБЛИЧНЫМ и ЧАСТНЫМ IP-адресом. Я успешно настроил Fortigate FW и сервер 2008 для согласования фазы 1 и фазы 2 соединения. До этого момента все выглядит нормально.

Когда я пытаюсь выполнить эхо-запрос с ЛОКАЛЬНОЙ стороны Fortigate на ЧАСТНУЮ сторону устройства 2008 R2, я сталкиваюсь с проблемами. В туннеле идет согласование фазы 1 и фазы 2, но средство просмотра событий Windows показывает, что пакеты блокируются системой фильтрации пакетов под Windows.

Средство просмотра событий показывает два кода ошибки

Log Name: Security
Source: Microsoft Windows security
EventID: 5152
Task Category: Filtering Platform Packet Drop
  The Windows Filtering Platform has blocked a packet.

  Application Information:
Process ID:     0
Application Name:   -

  Network Information:
Direction:      Inbound
Source Address:     192.168.219.183
Source Port:        0
Destination Address:    10.182.193.3
Destination Port:       8
Protocol:       1

 Filter Information:  
Filter Run-Time ID: 74898
Layer Name:     Transport
Layer Run-Time ID:  12

Другая запись журнала событий

Log Name: Security
Source: Microsoft Windows security
EventID: 4963
Task Category: IPsec Driver
  IPsec dropped an inbound clear text packet that should have been secured. 
  If the remote computer is configured with a Request Outbound IPsec policy, 
  this might be benign and expected.  This can also be caused by the remote 
  computer changing its IPsec policy without informing this computer. This 
  could also be a spoofing attack attempt.

  Remote Network Address:   192.168.219.183
  Inbound SA SPI:       0

Я зашел так далеко, что безуспешно отключил всю фильтрацию для каждого домена Windows FW для входящих подключений. Я продолжаю видеть эти сообщения об ошибках, которые повторяются при попытке выполнить PING. Я также протестировал TELNET на сервере Windows Telnet, который я установил в системе, тоже безуспешно.

Кто-нибудь имел дело с межсетевым экраном 2008 R2 для такого туннеля IPSEC и имел успех? Я нахожу очень неоднородные ссылки в других местах, и ни одна из них не настолько глубока, как эта.

Этот вопрос остался без ответа, и я подумал, что добавлю то, что придумал, в качестве решения. Сначала я не мог использовать туннель MS VPN, и маршрутизация не работала должным образом. Туннель всегда работает, как и ожидалось, но ОС никогда не направляет пакеты по каналу.

В качестве альтернативы я использовал клиент GreenBow VPN, который также позволял динамически запускать VPN при обнаружении трафика и предоставлял необходимую маршрутизацию. Несмотря на то, что это не было идеальным решением, мне удалось заставить его работать на сервере Windows 2008 R2, но мне нужно было сохранить учетную запись пользователя в системе. Единственный недостаток.