Вообще этот роутер поддерживание такою связку?

При установке соединение в логах выдает вот это
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] ERROR: Failed to get matching proposal for 192.168.3.100[500].
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] ERROR: No suitable proposal found for 192.168.3.100[500].
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's dh_group "768-bit MODP group" mismatched with Local "1024-bit MODP group".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's dh_group "768-bit MODP group" mismatched with Local "1024-bit MODP group".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's hashtype "SHA" mismatched with Local "MD5".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's encryption type "3DES-CBC" mismatched with Local "DES-CBC".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's hashtype "SHA" mismatched with Local "MD5".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's encryption type "3DES-CBC" mismatched with Local "DES-CBC".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's dh_group "2048-bit MODP group" mismatched with Local "1024-bit MODP group".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's hashtype "SHA" mismatched with Local "MD5".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's encryption type "3DES-CBC" mismatched with Local "DES-CBC".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's dh_group "2048-bit MODP group" mismatched with Local "1024-bit MODP group".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's hashtype "SHA" mismatched with Local "MD5".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] WARNING: Rejected phase 1 proposal as Peer's encryption type "AES-CBC" mismatched with Local "DES-CBC".
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] ERROR: invalid DH group 19.
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] ERROR: invalid DH group 20.
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: For 192.168.3.100[500], Selected NAT-T version: RFC 3947
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received unknown Vendor ID
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received unknown Vendor ID
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received unknown Vendor ID
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received unknown Vendor ID

Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received Vendor ID: RFC 3947
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received Vendor ID: MS NT5 ISAKMPOAKLEY
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Beginning Identity Protection mode.
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Received request for new phase 1 negotiation: 192.168.3.1[500]<=>192.168.3.100[500]
Sat Jan 01 00:07:01 2011 (GMT +0000): [DSR-250N] [IKE] INFO: Anonymous configuration selected for 192.168.3.100[500].

прошивка в данный момент стояла Firmware Version: 1.05B73_RU побывал WW все тоже самое


фаза 1 в политике ipsec
Phase1(IKE SA Parameters)
Exchange Mode: Main
Direction / Type: Both
Nat Traversal: On:
NAT Keep Alive Frequency (in seconds): 20
Local Identifier Type: Local Wan IP
Local Identifier: 192.168.3.1
Remote Identifier Type: Remote Wan IP
Remote Identifier: 0.0.0.0
Encryption Algorithm: DES: +
Authentication Algorithm: MD5: +
Authentication Method: Pre-shared key
Pre-shared key: *********
Diffie-Hellman (DH) Group: Group 2 (1024 bit)
SA-Lifetime (sec): 28800
Enable Dead Peer Detection:
Detection Period:
Reconnect after failure count: 10


фаза 2

Phase2-(Auto Policy Parameters)
SA Lifetime: 3600Seconds
Encryption Algorithm: DES: +
Integrity Algorithm: MD5:
PFS Key Group: DH Group 2 (1024 bit)

так же пробовал менять настройки на компьютере в разделе "Параметры IPSec" не чего не помогает

На удаленном станции вылетает ошибка 789

В чем может быть проблема ?

Может у кого есть идеи ?
заранее спасибо

В Windows используется L2TP over Ipsec, который не сочетается с L2TP DSR-а. Проще настроить PPTP. Но если хотите именно свой вариант, то придется копаться в реестре.

_________________
Полезные настройки

А что именно нужно настраивать и как ?


Какое оборудование DLinkа можно использовать для подключение Windows 7 и 8 и желатель iOS и Androida клиентов без танцев с бубнами?

Еще желательно что бы поддерживала работу со смарт-картами или просто сертификатами.

Способ отключения ipsec расписан в интернете, например: http://tresnet.ru/archives/867 Или же вы можете скачать какой-нибудь альтернативный vpn-клиент для соответствующей операционной системы.

_________________
Полезные настройки

а по рекомендовать оборудование ?

Так да все работает но шифрование нету, а фишка в том что бы трафик защитить. Если использовать серваки ptpp или l2tp без ipsec то получается что трафик не слишком сильно защищен.

DFL можно взять. Вот пример настройки туннеля http://ftp.dlink.ru/pub/FireWall/How%20 ... 0ipsec.ppt

_________________
Полезные настройки

А на DFL-260E на 100% эта связка будет работать или опять найдутся подводные камни.
Как там будет обстоять дела с защитой трафика (какие методы и типы шифрования)?

На DFL, как правило, все хорошо работает. Можете посмотреть эмулятор http://dlink.ru/ru/arts/84.html#

_________________
Полезные настройки

А еще один вопрос, а какие методы шифрования используються для сервера l2tp over ipsec?
Просто в эмулюторе я не чего не нашол про DES, md5, 3des, sha...

прошу сразу прошение за глупый вопрос

Вы презентацию посмотрели? На 4 странице виден раздел Algoritms - IKE Algoritm. Его вы можете изменять на свой выбор, предварительно задав свои параметры для IKE в разделе VPN objects.

_________________
Полезные настройки

еще один вопрос, а на DFL 260E точно есть метод подключение l2tp over ipsec и шифрования DES, md5, 3des, sha?

А о чем же мы с вами все это время говорили? Как настроить L2TP over IPsec указано в презентации, а изменение шифрования - в моем предыдущем сообщении.

_________________
Полезные настройки

Спасибо за помощь!
буду покупать DFL, dsr-250n наверное на полку поставлю пылиться

тему можно закрывать

Привет! Сотрудники d-link сами не знают, чего говорят.
Вот ссылка как все настроить. http://dlink.ua/sites/default/files/dsr ... %20DSR.pdf