Туннель между сайтами между маршрутизатором Cisco и Windows Server 2003/2008

Нет.

Я провел два целых дня на прошлой неделе, пытаясь выполнить то же самое, и потерпел неудачу. Я обнаружил, что это плохо документированная тема, и через два дня я просто сдался.

У меня это получалось, но с различными конфигурациями на стороне Windows я мог получить только одну сторону или другую, чтобы создать туннель, но не обе. После создания туннеля обе стороны могли связываться друг с другом через туннель, но только если, например, маршрутизатор Cisco инициировал туннель.

Вы можете найти мою конфигурацию Cisco из этого поста и, возможно, некоторую другую информацию, которая может помочь из этого поста о сбое сервера, который я сделал, хотя я сказал XP, я тоже пробовал с 2003. Вот статья о том, как получить некоторые журналы ошибок для стороны Windows. Со стороны Cisco вы можете включить различные методы шифрования с помощью debug crypto ? где вопросительный знак покажет вам варианты.

Со стороны Windows, если вы видите сбой в основном режиме, это будет первоначальное согласование ike в части General - Advanced вашей политики. В быстром режиме это будет частью согласования безопасности вашего действия фильтра. Для стороны cisco быстрый режим - это набор преобразований, а основной режим - политика crypto isak mp.

В том документе Cisco, на который вы ссылались, если вы посмотрите на фильтры, он показывает, что эти фильтры отражены. Согласно Microsoft, зеркальные фильтры и фильтры, специфичные для протокола, не поддерживаются в туннельном режиме.

Я также написал следующее для себя, чтобы помочь мне получить настройки Windows:

Существуют "Политики безопасности IP". Каждая политика имеет настройки IKE (Фаза 1 или Основной режим). К каждой политике также могут применяться правила. Правило может иметь один фильтр, одно действие фильтра, необязательную конечную точку туннеля и метод аутентификации. Фильтр выбирает, какой трафик будет сопоставляться, и к нему применяется правило. Фильтр может быть описан в терминах адреса источника, адреса назначения и / или протоколов и портов.

Фильтры - это то, где мой тест сломался. Я думаю, что для Microsoft для Cisco, если бы я использовал Windows IP и Cisco IP в качестве пункта назначения, это не сработало, я должен был указать ЛЮБОЙ IP для пункта назначения и установить протокол для фильтр для ICMP для моего теста (хотя они не должны работать).

В общем, я обнаружил, что это точечная технология, плохо документированная, и, если вы не можете сказать, разочаровывающая. Я установил VPN-сайт-сайт с Cisco для Cisco раньше без каких-либо проблем. Если вы добираетесь до работы надежно, пожалуйста, напишите, что вы сделали. Извините, если этот пост немного бессвязный, надеюсь, что-то здесь может вам помочь.