有没有人成功地创build了Windows Server 2003或2008和Cisco路由器之间的IPSec站点到站点隧道?
我们尝试了以下步骤:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800b12b5.shtml
但没有运气。
谢谢,德扬
没有。
上周我花了整整两天的时间试图完成同样的事情,但都失败了。 我发现这是一个logging不完整的话题,两天后我放弃了。
我确实得到了它的工作,但在Windows端的各种configuration,我只能得到一方或另一方能够创build隧道,但从来没有两个。 一旦build立隧道,双方就可以通过隧道相互通信,但只有在Cisco路由器启动隧道的情况下。
你可以从这篇文章中find我的思科configuration,也许还有一些其他的信息可以帮助我从这个serverfault post ,即使我说XP,我也尝试了2003年。 这里是一篇关于如何获取Windows端的错误日志的文章 。 对于思科方面,您可以使用debug crypto ?来启用各种encryptiondebuggingdebug crypto ? 问号将显示选项。
从窗口方面来看,如果在主模式下出现故障,那么这将是您的策略的“常规” – “高级”部分中的初始ike协商。 对于快速模式,这将是您的筛选器操作的协商安全部分。 对于思科端,快速模式是转换集,主模式是encryptionisakmp策略。
在你链接的思科文档中,如果你看看filter,它会显示filter被镜像。 据微软称,隧道模式不支持镜像filter和协议特定的filter。
我也为自己写了以下内容来帮助我获得windows设置:
有“IP安全策略”。 每个策略都有一个IKE设置(阶段1或主模式)。 每个政策也可以有适用的规则。 规则可以具有单个filter,单个filter动作,可选的隧道端点以及authentication方法。 filter会select要匹配的stream量,并将规则应用于该stream量。 filter可以用源地址,目的地址和/或协议和端口来描述。
filter是我的testing打破了我认为,对于微软到思科,如果我用Windows IP和思科IP作为目的地,它将无法正常工作,我不得不把任何IP的目的地,并设置协议对我的testing过滤ICMP(即使这些不应该工作)。
所以总的来说,我发现它是一个多变的技术,logging不完整,如果你说不出来,令人沮丧。 我已经与思科build立了站点站点VPN,之前没有任何问题。 如果你能够可靠地工作,请张贴你做的。 对不起,如果这个post有点乱,希望在这里的东西可以帮助你。