我有一个网络,其中的 Windows 2008 R2 服务器带有路由和远程访问功能,安装在具有公共和私有 IP 地址的云平台上。我已成功配置 Fortigate FW 和 2008 服务器以协商连接的第 1 阶段和第 2 阶段。到目前为止,一切看起来都很好。
当我尝试从 Fortigate 的本地端 ping 到 2008 R2 设备的私有端时,我遇到了问题。隧道的第 1 阶段和第 2 阶段协商顺利,但 Windows 事件查看器显示数据包被 Windows 下的数据包过滤系统阻止。
事件查看器显示两个错误代码
Log Name: Security
Source: Microsoft Windows security
EventID: 5152
Task Category: Filtering Platform Packet Drop
The Windows Filtering Platform has blocked a packet.
Application Information:
Process ID: 0
Application Name: -
Network Information:
Direction: Inbound
Source Address: 192.168.219.183
Source Port: 0
Destination Address: 10.182.193.3
Destination Port: 8
Protocol: 1
Filter Information:
Filter Run-Time ID: 74898
Layer Name: Transport
Layer Run-Time ID: 12
另一个事件日志条目是
Log Name: Security
Source: Microsoft Windows security
EventID: 4963
Task Category: IPsec Driver
IPsec dropped an inbound clear text packet that should have been secured.
If the remote computer is configured with a Request Outbound IPsec policy,
this might be benign and expected. This can also be caused by the remote
computer changing its IPsec policy without informing this computer. This
could also be a spoofing attack attempt.
Remote Network Address: 192.168.219.183
Inbound SA SPI: 0
我甚至关闭了每个 Windows FW 域的所有传入连接过滤,但还是没有成功。当我尝试 PING 时,我仍然看到这些错误消息重复出现。我还测试了 TELNET 到我在系统上安装的 Windows Telnet 服务器,但同样没有成功。
有没有人处理过 2008 R2 防火墙的 IPSEC 隧道并取得成功?我在其他地方找到的参考资料很少,没有一个像这个一样深入。
答案1
这个问题一直没有答案,我想补充一下我想到的解决方案。首先,我无法使用 MS VPN 隧道,并且路由始终无法正常工作。隧道总是按预期运行,但操作系统永远不会沿着链路路由数据包。
作为替代方案,我使用了 GreenBow VPN 客户端,它也允许在检测到流量时动态启动 VPN,并提供所需的适当路由。尽管这不是理想的解决方案,但我能够让它在 Windows 2008 R2 服务器上运行,但我确实需要保持用户帐户登录。唯一的缺点是。