Устранение неполадок в сценариях туннельного режима IPSec
Симптом
Получите «Согласование IP-безопасности» при тестировании подключения с ISA Server через подключение к удаленному сайту.
Рассмотрим следующий сценарий: ISA-A имеет подключение к удаленному сайту с ISA-B (или сторонним шлюзом IPSec) с использованием туннельного режима IPSec.
фигура 1
После создания удаленного сайта и правила брандмауэра, позволяющего локальной хост-сети (в брандмауэре ISA) получить доступ к удаленному сайту, вы не можете установить соединение ни с одним протоколом. Если вы проверяете подключение с помощью PING, вы получаете ответ Negotiating IP Security на неопределенный срок.
Решение
На каждом ISA-сервере (или стороннем VPN-шлюзе) добавьте внешний IP-адрес противоположного брандмауэра ISA на вкладку Addresses соединения.
Описание
Если брандмауэр ISA установлен в Windows 2003, вы можете использовать команду netsh ipsec dynamic show qmfilters all для просмотра фильтров, указанных ниже.
SubnetA — ISA-A — Интернет — ISA-B — SubnetB
ISA-A имеет удаленный сайт для SubnetB, содержащий адреса этой подсети.
Это приводит к тому, что ISA-A имеет список фильтров IPSec из:
A1 ПодсетьA > ПодсетьB
A3 ISA-A > ПодсетьB
A2 Подсеть A < подсеть B
A4 ISA-A < подсеть B
ISA-B имеет удаленный сайт для SubnetA, содержащий адреса этой подсети.
B1 ПодсетьB > ПодсетьA
B3 ISA-B > Подсеть A
B2 ПодсетьB < ПодсетьA
B4 ISA-B < Подсеть A
Когда вы выполняете PING от ISA-A к SubnetB, трафик поступает с внешнего IP-адреса ISA-A. Из-за этого ISA-A имеет соответствующий фильтр для трафика (A3 выше), но ISA-B не имеет для этого соответствующего фильтра (от B1 до B4 трафик не соответствует). В результате ISA-A продолжает попытки согласования IP-безопасности с ISA-B, но это никогда не будет завершено, поскольку трафик на ISA-B не совпадает.
Чтобы исправить это, на ISA-A вам нужно добавить внешний IP-адрес ISA-B на вкладку «Адреса» удаленного узла. На ISA-B вам нужно будет добавить внешний IP-адрес ISA-A.
Что происходит, так это то, что теперь ISA будет иметь следующие фильтры…
ОДИН-А
A1 ПодсетьA > ПодсетьB
A3 ISA-A > ПодсетьB
A5 ISA-B > Подсеть A
A2 Подсеть A < подсеть B
A4 ISA-A < подсеть B
A6 ISA-B < Подсеть A
ОДИН-Б
B1 ПодсетьB > ПодсетьA
B3 ISA-B > Подсеть A
B5 ISA-A > ПодсетьB
B2 ПодсетьB < ПодсетьA
B4 ISA-B < Подсеть A
B6 ISA-A < подсеть B
При такой настройке, когда ISA-A пытается установить связь с SubnetB, A3 теперь соответствует B5, а A4 соответствует B6, и ассоциации безопасности могут подключаться к сети.