構成
私は、Microsoftの指示に従って、Windows Server 2003 (SBS) マシンとNetgear FVG318 の間に「生の」IPSecトンネルを設定しました。KB816514構成は次のとおりです (記事と同じ規則を使用)。
NetA | SBS2003 | FVG318 | NetB
10.0.0.0/24 | 216.x.x.x | 69.y.y.y | 10.0.254.0/24
メイン モードとクイック モードの両方のセキュリティ アソシエーションが正常に完了し、IP セキュリティ モニターに表示されます。また、NetB 上の任意のコンピューターから SBS2003 サーバーのプライベート アドレスに ping を送信することもできます。
問題
NetAのコンピュータからNetBへ、またはSBS2003からNetBへ送信されるトラフィック(ICMP Pingを除く)反応)は、IPSec トンネルの外側のパブリック ネットワーク インターフェイスに送信されます(トンネルが存在しないかのように、暗号化やヘッダー認証は行われません)。
NetB 上のコンピュータから NetA 上のコンピュータに送信された ping は NetA 上のコンピュータに正常に到達しますが、応答は SBS2003 によって暗黙的に破棄されます (平文で送信されず、暗号化されたトラフィックも生成されません)。
可能な解決策
設定が正しくありません
どこかで入力ミスをしたか、KB816514 が何らかの点で間違っている可能性があります。最初のオプションを排除するために一生懸命努力しました。構成を何度も再作成し、できる限りすべての設定を微調整および調整しようとしましたが、成功しませんでした (ほとんどが SA の確立を妨げます)。
NAT/RRAS
他の場所で、これは NAT と IPSec フィルタ間の相互作用によるものである可能性があると示唆する投稿をいくつか見ました。おそらく、NetA プライベート アドレスは、クイック モード IPSec フィルタと比較される前に 216.xxx に書き換えられ、不一致のためトンネル化されません。実際、2005 年 6 月の The Cable Guy の記事「TCP/IP パケット処理パス」では、これが事実であると示唆されています (トランジット トラフィック パスのステップ 2 と 4 を参照)。これが事実である場合、NetA->NetB トラフィックを NAT から除外する方法はありますか?
ご意見、アイデア、提案、コメントなど何でも歓迎いたします。
更新 (2011-06-26)
問題を解決できなかったので、有料の Microsoft サポートに頼りました。彼らは問題を解決できませんでした。それ以来、Linux ベースのソリューションを実装し、非常にうまく機能しています。提案された回答をできる限り評価しようとしますが、現在の構成と時間的制約により、これは遅くなります...
答え1
バインド順序を確認します。ネットワーク プロパティ > 詳細設定 > 詳細設定 経由してルーティングする順序を一番上に移動します。