Устранение неполадок в сценариях туннельного режима IPSec

Опубликовано: 12 Апреля, 2023

Симптом


Получите «Согласование IP-безопасности» при тестировании подключения с ISA Server через подключение к удаленному сайту.


Рассмотрим следующий сценарий: ISA-A имеет подключение к удаленному сайту с ISA-B (или сторонним шлюзом IPSec) с использованием туннельного режима IPSec.




фигура 1


После создания удаленного сайта и правила брандмауэра, позволяющего локальной хост-сети (в брандмауэре ISA) получить доступ к удаленному сайту, вы не можете установить соединение ни с одним протоколом. Если вы проверяете подключение с помощью PING, вы получаете ответ Negotiating IP Security на неопределенный срок.


Решение


На каждом ISA-сервере (или стороннем VPN-шлюзе) добавьте внешний IP-адрес противоположного брандмауэра ISA на вкладку Addresses соединения.


Описание


Если брандмауэр ISA установлен в Windows 2003, вы можете использовать команду netsh ipsec dynamic show qmfilters all для просмотра фильтров, указанных ниже.



SubnetA — ISA-A — Интернет — ISA-B — SubnetB


ISA-A имеет удаленный сайт для SubnetB, содержащий адреса этой подсети.


Это приводит к тому, что ISA-A имеет список фильтров IPSec из:












A1 ПодсетьA > ПодсетьB


A3 ISA-A > ПодсетьB


A2 Подсеть A < подсеть B


A4 ISA-A < подсеть B


ISA-B имеет удаленный сайт для SubnetA, содержащий адреса этой подсети.












B1 ПодсетьB > ПодсетьA


B3 ISA-B > Подсеть A


B2 ПодсетьB < ПодсетьA


B4 ISA-B < Подсеть A


Когда вы выполняете PING от ISA-A к SubnetB, трафик поступает с внешнего IP-адреса ISA-A. Из-за этого ISA-A имеет соответствующий фильтр для трафика (A3 выше), но ISA-B не имеет для этого соответствующего фильтра (от B1 до B4 трафик не соответствует). В результате ISA-A продолжает попытки согласования IP-безопасности с ISA-B, но это никогда не будет завершено, поскольку трафик на ISA-B не совпадает.


Чтобы исправить это, на ISA-A вам нужно добавить внешний IP-адрес ISA-B на вкладку «Адреса» удаленного узла. На ISA-B вам нужно будет добавить внешний IP-адрес ISA-A.


Что происходит, так это то, что теперь ISA будет иметь следующие фильтры…


ОДИН-А














A1 ПодсетьA > ПодсетьB


A3 ISA-A > ПодсетьB


A5 ISA-B > Подсеть A


A2 Подсеть A < подсеть B


A4 ISA-A < подсеть B


A6 ISA-B < Подсеть A


ОДИН-Б














B1 ПодсетьB > ПодсетьA


B3 ISA-B > Подсеть A


B5 ISA-A > ПодсетьB


B2 ПодсетьB < ПодсетьA


B4 ISA-B < Подсеть A


B6 ISA-A < подсеть B


При такой настройке, когда ISA-A пытается установить связь с SubnetB, A3 теперь соответствует B5, а A4 соответствует B6, и ассоциации безопасности могут подключаться к сети.