我根据Microsoft KB816514中的说明在Windows Server 2003(SBS)计算机和Netgear FVG318之间设置了“原始”IPSec隧道.配置如下(使用与文章相同的约定)：

NetA         | SBS2003   | FVG318   | NetB
10.0.0.0/24  | 216.x.x.x | 69.y.y.y | 10.0.254.0/24

主模式和快速模式安全关联都已成功完成并显示在IP安全监视器中.我也可以从NetB上的任何计算机上ping其私有地址的SBS2003服务器.

问题

从NetA上的计算机发送到NetB,或从SBS2003发送到NetB(不包括ICMP Ping响应)的任何流量都在IPSec隧道外的公共网络接口上发送(没有加密或报头身份验证,就好像隧道不在那里) .

从NetB上的计算机发送到NetA上的计算机的ping成功到达NetA上的计算机,但是响应被SBS2003默默地丢弃(它们不会明确地丢弃,也不会生成任何加密流量).

可能的解决方案

配置错误

我可能在某处错误输入了某些内容,或者KB816514在某些方面可能不正确.我已经非常努力地消除了第一个选项.多次重新创建配置,尝试调整并调整我可能没有成功的所有设置(大多数阻止SA建立).

NAT / RRAS

我在其他地方看到过多篇帖子,这可能是由于NAT和IPSec过滤器之间的交互造成的.在与快速模式IPSec过滤器进行比较之前,可能会将NetA专用地址重写为216.x.x.x,并且由于不匹配而无法通过隧道传输.实际上,2005年6月的“有线电视专家”文章“TCP / IP数据包处理路径”表明情况就是这样(参见“公交流量”路径的第2步和第4步).如果是这种情况,有没有办法从NAT中排除NetA-> NetB流量？

任何想法,想法,建议和/或评论都表示赞赏.

更新(2011-06-26)

在未能解决问题后,我使用了付费的Microsoft支持.他们无法解决问题.从那时起,我已经实现了一个基于Linux的解决方案,该解决方案运行良好.我会尽力评估任何建议的答案,但目前的配置和时间限制会使这个问题变得缓慢……