Cisco 路由器和 Windows Server 2003/2008 之间的站点到站点隧道

Cisco 路由器和 Windows Server 2003/2008 之间的站点到站点隧道

是否有人在 Windows Server 2003 或 2008 和 Cisco 路由器之间成功创建了 IPSec 站点到站点隧道?

我们尝试了如下列出的步骤:

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b12b5.shtml

但没有运气。

谢谢,德扬

答案1

不。

上周我花了整整两天时间尝试完成同样的事情,但失败了。我发现这是一个记录不全的主题,两天后我就放弃了。

我确实让它工作了,但是由于 Windows 端的各种配置,我只能让其中一端创建隧道,而无法同时创建两端。创建隧道后,两端都可以通过隧道相互通信,但前提是 Cisco 路由器启动了隧道。

您可以从这篇文章中找到我的思科配置,也许还有一些其他可能有用的信息我发的这个 serverfault 帖子,虽然我说的是 XP,但我也尝试过 2003。下面是文章关于如何获取 Windows 端的一些错误日志。对于 Cisco 端,您可以启用各种加密调试,其中debug crypto ?问号将显示选项。

从 Windows 端来看,如果您看到主模式失败,那将是策略的常规-高级部分中的初始 ike 协商。对于快速模式,那将是过滤器操作的协商安全部分。对于思科端,快速模式是转换集,主模式是加密 isakmp 策略。

在您链接的 Cisco 文档中,如果您查看过滤器,它会显示这些过滤器是镜像的。根据 Microsoft 的说法,隧道模式不支持镜像过滤器和协议特定的过滤器。

我还为自己写了以下内容来帮助我获取 Windows 设置:

有“IP 安全策略”。每个策略都有一个 IKE 设置(阶段 1 或主模式)。每个策略也可以应用规则。一个规则可以有一个过滤器、一个过滤器操作、一个可选隧道端点和一个身份验证方法。过滤器选择要匹配的流量并将规则应用于它。过滤器可以用源地址、目标地址和/或协议和端口来描述。

我认为过滤器是我的测试失败的地方,对于 Microsoft 到 Cisco,如果我使用 Windows IP 和 Cisco IP 作为目的地,它将无法工作,我必须将任何 IP 作为目的地,并将过滤器的协议设置为 ICMP 以进行测试(即使这些不应该工作)。

所以总的来说,我发现它是一种不稳定的技术,记录不全,如果你看不出来,会很沮丧。我以前用 Cisco 到 Cisco 设置过站点到站点 VPN,没有任何问题。如果你能可靠地工作,请发布你所做的。如果这篇文章有点杂乱,我很抱歉,希望这里的一些内容能对你有所帮助。

相关内容