Cisco 路由器和 Windows Server 2003/2008 之间的站点到站点隧道

不。

上周我花了整整两天时间尝试完成同样的事情，但失败了。我发现这是一个记录不全的主题，两天后我就放弃了。

我确实让它工作了，但是由于 Windows 端的各种配置，我只能让其中一端创建隧道，而无法同时创建两端。创建隧道后，两端都可以通过隧道相互通信，但前提是 Cisco 路由器启动了隧道。

您可以从这篇文章中找到我的思科配置，也许还有一些其他可能有用的信息我发的这个 serverfault 帖子，虽然我说的是 XP，但我也尝试过 2003。下面是文章关于如何获取 Windows 端的一些错误日志。对于 Cisco 端，您可以启用各种加密调试，其中debug crypto ?问号将显示选项。

从 Windows 端来看，如果您看到主模式失败，那将是策略的常规-高级部分中的初始 ike 协商。对于快速模式，那将是过滤器操作的协商安全部分。对于思科端，快速模式是转换集，主模式是加密 isakmp 策略。

在您链接的 Cisco 文档中，如果您查看过滤器，它会显示这些过滤器是镜像的。根据 Microsoft 的说法，隧道模式不支持镜像过滤器和协议特定的过滤器。

我还为自己写了以下内容来帮助我获取 Windows 设置：

有“IP 安全策略”。每个策略都有一个 IKE 设置（阶段 1 或主模式）。每个策略也可以应用规则。一个规则可以有一个过滤器、一个过滤器操作、一个可选隧道端点和一个身份验证方法。过滤器选择要匹配的流量并将规则应用于它。过滤器可以用源地址、目标地址和/或协议和端口来描述。

我认为过滤器是我的测试失败的地方，对于 Microsoft 到 Cisco，如果我使用 Windows IP 和 Cisco IP 作为目的地，它将无法工作，我必须将任何 IP 作为目的地，并将过滤器的协议设置为 ICMP 以进行测试（即使这些不应该工作）。

所以总的来说，我发现它是一种不稳定的技术，记录不全，如果你看不出来，会很沮丧。我以前用 Cisco 到 Cisco 设置过站点到站点 VPN，没有任何问题。如果你能可靠地工作，请发布你所做的。如果这篇文章有点杂乱，我很抱歉，希望这里的一些内容能对你有所帮助。