配置
我已經根據 Microsoft 中的說明在 Windows Server 2003 (SBS) 電腦和 Netgear FVG318 之間設定了「原始」IPSec 隧道KB816514。配置如下(使用與文章相同的約定):
NetA | SBS2003 | FVG318 | NetB
10.0.0.0/24 | 216.x.x.x | 69.y.y.y | 10.0.254.0/24
主模式和快速模式安全關聯均已成功完成並顯示在 IP 安全監視器中。我還可以從 NetB 上的任何電腦透過其專用位址 ping SBS2003 伺服器。
問題
從 NetA 上的電腦傳送到 NetB 或從 SBS2003 到 NetB 的任何流量(不包括 ICMP Ping)回應),在 IPSec 隧道外部的公共網路介面上發送(沒有加密或標頭驗證,就好像隧道不存在一樣)。
從 NetB 上的計算機發送到 NetA 上的計算機的 Ping 成功到達 NetA 上的計算機,但響應被 SBS2003 默默地丟棄(它們不會以明文形式發出,也不會生成任何加密流量)。
可能的解決方案
配置錯誤
我可能在某個地方輸入錯誤,或者 KB816514 可能在某些方面不正確。我已經非常努力地嘗試消除第一個選項。已多次重新建立配置,嘗試調整和調整所有我能做的設置,但沒有成功(大多數情況下會阻止 SA 的建立)。
網路位址轉換/遠端存取服務
我在其他地方看到過多個帖子,表明這可能是由於 NAT 和 IPSec 過濾器之間的交互造成的。在與快速模式 IPSec 過濾器進行比較之前,NetA 專用位址可能會被重寫為 216.xxx,並且由於不匹配而不會透過隧道傳輸。事實上,2005 年 6 月的 Cable Guy 文章「TCP/IP 封包處理路徑」表明情況確實如此(請參閱中轉流量路徑的步驟 2 和 4)。如果是這種情況,是否有辦法從 NAT 排除 NetA->NetB 流量?
如有任何想法、想法、建議和/或評論,我們將不勝感激。
更新 (2011-06-26)
在未能解決問題後,我求助於微軟的付費支援。他們無法解決這個問題。從那時起,我實作了一個基於 Linux 的解決方案,效果非常好。我將嘗試盡我所能評估任何建議的答案,但目前的配置和時間限制會使這個過程變慢...
答案1
檢查您的綁定訂單。網路屬性>進階>進階設定 將您希望路由通過的網路移至頂部。