Создание IPSEC туннеля Windows < - > Cisco

Нам необходимо соединить 2 подсети 172.10.0.0/24 и 172.30.0.0/24. Сеть 172.10.0.0/24 имеет шлюз по умолчанию 172.10.0.1, который является IP адресом на одном из сетевых интерфейсов W2k3 сервера. Сеть 172.30.0.0/24 имеет шлюз по умолчанию 172.30.0.1, который является IP адресом на интерфейсе vlan900. W2k3 сервер имеет внешний интерфейс 10.1.127.13, маршрутизатор Cisco имеет внешний интерфейс 10.1.127.14.

Конфигурация Cisco

encr 3des
hash md5
authentication pre-share
group 2
!
1234567890 является ключом шифрования
crypto isakmp key 1234567890 address 10.1.127.13
!
crypto ipsec transform-set MAXX_Center esp-3des esp-md5-hmac
!
crypto map MAXX_Center 10 ipsec-isakmp
set peer 10.1.127.13
set transform-set MAXX_Center
match address 110
!
interface FastEthernet4
description == dc7100 ==
switchport access vlan 900
spanning-tree portfast
IP адрес на интерфейсе vlan6 получается динамически, однако на время теста он оставался неизменным – 10.1.127.14
interface Vlan6
ip address dhcp
crypto map MAXX_Center
!
interface Vlan900
ip address 172.30.0.1 255.255.255.0
!
ip route 172.10.0.0 255.255.255.0 10.1.127.13
!
access-list 110 permit ip 172.30.0.0 0.0.0.255 172.10.0.0 0.0.0.255

Конфигурация Windows 2003 server

После конфигурирования cisco лазить по окошкам, да еще и инструкцию писать при помощи Print-screen как-то не особо удобно. Поэтому вспоминаем наличие утилиты netsh и стараемся забыть о наличии графического интерфейса. Скрипт настройки W2k3 выглядит следующим образом:
netsh ipsec static set store location=local
netsh ipsec static add policy “Windows – Cisco” mmpfs=no mmlifetime=60 assign=yes mmsecmethods=”3DES-MD5-2″
netsh ipsec static add filter filterlist=”Windows-Cisco” srcaddr=172.10.0.0 dstaddr=172.30.0.0 protocol=any mirrored=no srcmask=24 dstmask=24
netsh ipsec static add filter filterlist=”Cisco-Windows” srcaddr=172.30.0.0 dstaddr=172.10.0.0 protocol=any mirrored=no srcmask=24 dstmask=24
netsh ipsec static add filteraction name=”WCAction” qmpfs=no action=negotiate qmsecmethods=ESP[3DES,MD5]
netsh ipsec static add rule name=”Windows->Cisco tunnel” policy=”Windows – Cisco” filterlist=Windows-Cisco filteraction=WCAction tunnel=10.1.127.14 conntype=lan kerberos=no psk=”1234567890″
netsh ipsec static add rule name=”Cisco->Windows tunnel” policy=”Windows – Cisco” filterlist=Cisco-Windows filteraction=WCAction tunnel=10.1.127.13 conntype=lan kerberos=no psk=”1234567890″
netsh ipsec static set policy name=”Windows – Cisco” assign=yes

На этом конфигурирование окончено. Туннель должен подняться (по крайней мере так это было у меня)