登录
Microsoft.com
 
Microsoft
 
 
 

none
Windows Server 2003 配置 ike/ipsec 的问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    拓扑环境如下:一台win2003sp2 配置路由及远程访问为内网(XP虚拟机)192.168.56.0/24 配置NAT访问Internet,并通过 IP安全策略 与一台华为USG设备进行 ike/ipsec 协商加密以实现 ipsec(站点 to 站点)连接。

    目前IP安全策略可以与对端设备进行IKE/IPsec协商加密连接(本端加密子网192.168.56.0/24   对端加密子网192.168.0.0/24),win2003下的XP虚拟机子网(192.168.56.0/24)可以通过路由及远程访问配置的NAT访问Internet  但不能与ike/ipsec协商后的对端设备后的内网(192.168.0.0/24)通信。

    在将 路由和远程访问---IP路由选择---NAT/基本防火墙---本地公网网卡属性项里的 “共用接口连接到internet” 改成 “专用接口连接到专用网络” 后,win2003下的XP虚拟机子网(192.168.56.0/24)可以与ike/ipsec协商后的对端设备后的内网(192.168.0.0/24)通信  但却不能访问Internet

    二种方式只能选其一,不能同时存在。即无法既能通过NAT访问Internet又能同时与ike/ipsec协商设备后的内网(192.168.0.0/24)通信

    个人分析:在将接口类型改成 “共用接口连接到internet” 后,win2003下的XP虚拟机子网(192.168.56.0/24)可以通过路由及远程访问配置的NAT访问Internet  则可以判断NAT配置没有问题,在将接口类型改成 “专用接口连接到专用网络” 后,win2003下的XP虚拟机子网(192.168.56.0/24)可以与ike/ipsec协商后的对端设备后的内网(192.168.0.0/24)通信则可以判断至少 IP安全策略 配置的ike、ipsec加密配置没有问题

    那么问题可能出在 “路由和远程访问”的个别配置上,最直接的判断则是:在接口类型为 “共用接口连接到internet” 下,win2003下的XP虚拟机子网(192.168.56.0/24)访问ike/ipsec对端 子网(192.168.0.0/24)的请求并没有走ipsec隧道,而是走的NAT出去。这样自然无法访问。但是windows并没有像思科或华为那样的ACL规则,如何配置在接口类型为“共用接口连接到Internet”下,访问ike/ipsec对端的数据流走ipsec隧道而不走NAT 我不得而知,望社区各MVP高手赐教,不胜感激~!!谢谢大家~!

    接口类型为 “共用接口连接到internet”

    接口类型为 “专用接口连接到专用网络”

    2017年8月15日 15:26
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    非常感谢 Candy 版主 大人的回复及建议

    Candy 版主及社区的各大 MVP 日常都很忙,没有太多时间研究测试这个问题。于是我找遍 Microsoft 的帮助文档,终于在一个角落里找到一篇介绍 windows server 2003 与非 Microsoft 产品进行IKE/IPsec配置的文章

    原文链接:  https://support.microsoft.com/zh-cn/help/816514/how-to-configure-ipsec-tunneling-in-windows-server-2003

    针对于我的问题,在本端内部子网接口增加一条到目的地址的路由即可。同时接受 Candy 版主 建议,将操作系统换成 Windows Server 2008 R2  在实际测试中发现通过 配置防火墙 或 创建IP安全策略 均能建立IPsec通信

    最终在 Windows Server 2008 R2 下成功实现内网NAT  及与第三方硬件产品建立  IKE/IPsec

    2017年8月24日 3:21
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    您好 JACK.yin,

    由于环境比较特殊,我们需要进行一些研究和测试,如果有任何进展我们会及时在贴下进行更新。

    另外,由于微软已经在2015年7月14日结束了对server 2003操作系统的技术支持,建议通过升级迁移到更新版本从而获取更加专业的技术支持。

    此致

    Candy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月16日 7:37
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    非常感谢 Candy 版主 大人的回复及建议

    Candy 版主及社区的各大 MVP 日常都很忙,没有太多时间研究测试这个问题。于是我找遍 Microsoft 的帮助文档,终于在一个角落里找到一篇介绍 windows server 2003 与非 Microsoft 产品进行IKE/IPsec配置的文章

    原文链接:  https://support.microsoft.com/zh-cn/help/816514/how-to-configure-ipsec-tunneling-in-windows-server-2003

    针对于我的问题,在本端内部子网接口增加一条到目的地址的路由即可。同时接受 Candy 版主 建议,将操作系统换成 Windows Server 2008 R2  在实际测试中发现通过 配置防火墙 或 创建IP安全策略 均能建立IPsec通信

    最终在 Windows Server 2008 R2 下成功实现内网NAT  及与第三方硬件产品建立  IKE/IPsec

    2017年8月24日 3:21
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好 JACK.yin

    很高兴听到您的问题已经解决了,非常感谢您分享问题的解决过程!我相信这会帮助到论坛中很多有相同情况的用户!另外请您把回复标记为答复,方便论坛中其他用户快速找到答案。

    感谢您的理解和支持。

    此致

    Candy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年8月25日 2:22
    |
    版主