Если на другой стороне туннеля IPsec используется программный шлюз под управлением одной из ОС семейства Windows, то при его настройке необходимо обратить внимание на следующие особенности:

1. Перед началом настройки IPsec следует настроить обычную маршрутизацию на обеих сторонах и убедиться в нормальном прохождении пакетов из одного сегмента защищаемой сети в другой. Настройку маршрутизации в продуктах Майкрософт удобнее всего производить из командной строки при помощи команды route -p add ... (для справки см. route help), но можно сделать это и путём кликания мышкой в окошках.
2. Настройка производится в оснастке "Локальная политика безопасности". Для работы IPsec необходимо создать политику, содержащую два правила безопасности IP — для трафика в одну и в другую сторону.
3. Флаг PFS в окне "Параметры обмена ключами" необходимо согласовать со значением на устройстве NSG.

Поскольку реализация IPsec в продуктах Майкрософт основана на решении Cisco, то логично ожидать, что для них также имеет место проблема зацикливания пакетов с адресами источника и назначения, равными адресами локального и удалённого шлюзов (см. пункт "г" в разделе "Особенности реализации IPsec в устройствах Cisco Systems").

Реализация IPsec в продуктах Майкрософт сама по себе не предусматривает работу в транспортном режиме IPsec, например, на одиночном ПК, подключённом через сети общего пользования. Однако существует ряд программных продуктов других производителей, позволяющих решить эту задачу (де-факто — путём организации программного шлюза IPsec в рамках ОС Windows).

Обратно в узел ipsec...