我们正在努力在两个 win2012-R2 系统上设置服务器到服务器的 VPN。这些系统位于不同的数据中心,我们无法访问/管理防火墙/网络设备(除了打开端口)。
解决这个问题的正常方法是建立一个从防火墙到防火墙的 ipsec vpn,但如上所述,对于这个项目来说这是不可能的。
由于 Win2012 内置了大量 VPN 服务器和客户端功能,我们认为我们应该能够使用 OS 工具来执行此操作(就像我们在 Linux 上使用 ssh 服务器/客户端一样)。
(此连接不供用户使用。它用于 SQL 日志传送,因此用于“服务器到服务器”通信。)
与我合作的技术人员表示,vpn 将处于用户级别,并将在用户注销时关闭。
我认为我们可以在“系统到系统”级别上做到这一点,但找不到以某种方式清晰的文档。
我们强烈倾向于使用原生 Win2012-r2 功能,但如果这是唯一/更好的选择,我们会考虑基于商业和免费软件的工具。
故事是怎样的?
答案1
在传输模式下使用 IPSec。设置起来很简单,可以使用本机工具完成。
我在 BSD/Linux 上做过几十次,但不幸的是从未在 Windows 上做过(尽管我知道这是可能的),所以我无法提供更多详细信息或指向教程的指针。一般来说,IPSec 的设置并不复杂。需要考虑的一些 IPsec 陷阱:
- 连接两端的所有设置均相同
- 您的第 2 阶段配置已到位,用于通知内核哪些数据包需要加密(匹配目标地址)