구성
Microsoft의 지침에 따라 Windows Server 2003(SBS) 시스템과 Netgear FVG318 사이에 "원시" IPSec 터널을 설정했습니다.KB816514. 구성은 다음과 같습니다(기사와 동일한 규칙 사용).
NetA | SBS2003 | FVG318 | NetB
10.0.0.0/24 | 216.x.x.x | 69.y.y.y | 10.0.254.0/24
주 모드 및 빠른 모드 보안 연결이 모두 성공적으로 완료되어 IP 보안 모니터에 나타납니다. 또한 NetB의 모든 컴퓨터에서 개인 주소로 SBS2003 서버에 ping을 보낼 수 있습니다.
문제
NetA의 컴퓨터에서 NetB로 또는 SBS2003에서 NetB로 전송되는 모든 트래픽(ICMP Ping 제외)응답)은 IPSec 터널 외부의 공용 네트워크 인터페이스로 전송됩니다(터널이 없는 것처럼 암호화 또는 헤더 인증 없음).
NetB의 컴퓨터에서 NetA의 컴퓨터로 전송된 Ping은 NetA의 컴퓨터에 성공적으로 도달하지만 SBS2003에 의해 응답이 자동으로 삭제됩니다(Ping은 암호화되지 않은 상태로 나가지 않으며 암호화된 트래픽을 생성하지 않습니다).
가능한 해결책
잘못된 구성
어딘가에 뭔가를 잘못 입력했을 수도 있고, KB816514가 어떤 식으로든 틀렸을 수도 있습니다. 나는 첫 번째 옵션을 없애기 위해 매우 열심히 노력했습니다. 구성을 여러 번 다시 만들고 가능한 모든 설정을 조정해 보았으나 성공하지 못했습니다(대부분 SA 설정이 방해됨).
NAT/RRAS
NAT와 IPSec 필터 간의 상호 작용으로 인해 이것이 발생할 수 있다고 제안하는 여러 게시물을 다른 곳에서 보았습니다. NetA 개인 주소는 빠른 모드 IPSec 필터와 비교되기 전에 216.xxx로 다시 작성되고 불일치로 인해 터널링되지 않을 수 있습니다. 실제로 2005년 6월 The Cable Guy 기사 "TCP/IP 패킷 처리 경로"에서는 이것이 사실임을 시사합니다(전송 트래픽 경로의 2단계와 4단계 참조). 이 경우 NAT에서 NetA->NetB 트래픽을 제외할 수 있는 방법이 있습니까?
모든 생각, 아이디어, 제안 및/또는 의견을 환영합니다.
업데이트 (2011-06-26)
문제를 해결하지 못한 후 Microsoft의 유료 지원을 받았습니다. 그들은 문제를 해결할 수 없었습니다. 그 이후로 나는 꽤 잘 작동하는 Linux 기반 솔루션을 구현했습니다. 제안된 답변을 최선을 다해 평가해 보겠습니다. 하지만 현재 구성과 시간 제약으로 인해 속도가 느려질 수 있습니다...
답변1
바인딩 순서를 확인하세요. 네트워크 속성>고급>고급 설정 라우팅할 네트워크를 맨 위로 이동하세요.