Занимался ли кто-нибудь вопросом объединения филиалов тунелем IPSec?

Я выполнил эту задачу только в одном случае - когда оба филиала висят на одном провайдере, а вот при подключении остальных филиалов, находящихся в других городах возникли проблемы - связи нет :-(

Почему? Есть какие-нибудь догадки?

Везде стоят виндовые гейты (Windows 2003, Winroute 5.1). Использовал стандартный IPSec. Настройки во всех случаях одинаковые.

Отзовитесь у кого были подобные проблемы, очень надо :-)

Я делал на дешевых роутерах Dlink DI-804HV, подробная документация на ftp сайте dlink, провайдеры разные


Исправлено: SergOst, 23:01 19-03-2004

XCM
Может я и не прав (тогда звиняйте), но на сколько я знаю, IPSec не работает в случаях, если на пути следования вносились изменения в заголовки оригинальных отправляемых пакетов. Соответственно вариант с НАТом не проходит. Может в этом дело? Т.е. надо либо пользовать другие VPN протоколы, либо организовывать туннель, уже по которому в свою очередь пускать IPSec...

Думаю что ты всё таки не прав, ведь вариант когда оба офиса находятся на одном провайдере 100% рабочий.
У меня две догадки на этот счет, либо IPSec траффик не маршрутизируется в пределах интернета (но это наверное глюк), либо проблемы с таблицами маршрутизации (типа внешний интерфейс и гейтвей не находятся в одной подсети)

Короче всё туманно и запущено :-)

Исправлено: XCM, 4:45 22-03-2004

Ура! Заработало! :-)

Всё оказалось гораздо проще чем я мог себе предположить.

Рекомендую всем ломать свои VPNы (PPTP и L2TP) и поднимать чистый IPSec. Эта штука гораздо надежнее. Не нужно ломать голову почему не коннектятся виртуальные интерфейсы, почему коннект есть а траффик не идет, ...

Если у кого возникнут вопросы, могу помочь советом ;-)

XCM
Ура! Заработало! :-)
Так может таки расскажешь в чем была проблема и как она решилась? Другим, думаю, тоже полезно будет. Да и не хорошо, ИМХО, поднятую тему без ответа оставлять, тем более если он известен...

Достаточно было просто удалить запись из таблицы маршрутизации и все заработало.
Оказывается IPSec сам способен маршрутизировать траффик (нужно было сразу догадаться). Однако совсем непонятно почему микрософт все таки предлагает использовать стандартную виндовую маршрутизацию :-\

Исправлено: XCM, 6:14 23-03-2004

Тоже надо решить такую же задачку...
Не поделишся ли опытом????

Greyman
Соответственно вариант с НАТом не проходит
Неверно. Поднимал NAT+PPTP и через Винроут (5.х), и через стандартные средства + ISA. С бубном побегать, конечно, пришлось :)


Исправлено: Sadok, 14:05 24-03-2004

AlexDnepr
Пиши на почту или в аську. Чем смогу помогу.
А для начала почитай вот эти статьи, я всё делал по ним:
http://support.microsoft.com/?kbid=252735#appliesto
http://support.microsoft.com/default.aspx?kbid=816514

Только в моем случае мне не пришлось добавлять записи в таблицу маршрутизации, но микрософт пишет что надо. Короче разбирайся, будет что непонятно пиши :-)