Настроил ipsec между DFL 260E и DI 808HV как показано http://dlink.ru/ru/faq/92/520.html!
Туннель соединился между ними, не один пакет не проходит не в одну сторону, не в другую!
В чем может быть проблема? Подскажите!

В логах что?
на обоих железках.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

лог dfl-260e прошивка 2.27.30

27.05.2016 Info CONN IPsecBeforeRules UDP core 212.45.12.106 500 conn_close
10:23:18 600002 wan 195.9.120.242 500 close
conn=close origsent=740 termsent=716 conntime=132
27.05.2016 Info CONN lan_to_ipsec TCP lan 192.168.0.3 2528 conn_close
10:22:07 600002 IPSec 192.168.1.4 445 close
conn=close origsent=144 termsent=0 conntime=61
27.05.2016 Info CONN lan_to_ipsec TCP lan 192.168.0.3 2529 conn_close
10:22:07 600002 IPSec 192.168.1.4 139 close
conn=close origsent=144 termsent=0 conntime=61
27.05.2016 Info IPSEC ipsec_sa_created
10:21:07 1800907
ipsec_if=IPSec local_ip=212.45.12.106 remote_ip=195.9.120.242 cfgmode_ip= esp_spi_in=0x1e9945c1 esp_spi_out=0x1100d601 ike_spi_i=0x3cfc538545904642 ike_spi_r=0x8b9b8cbc456d04ba esp_cipher=des-cbc esp_cipher_keysize=64 esp_mac=hmac-md5-96 esp_mac_keysize=128 life_seconds=3240 life_kilobytes=0 dh_group=0 dh_bits=0 local_ts="192.168.0.0/24" remote_ts="192.168.1.0/24"
27.05.2016 Info IPSEC ike_sa_statistics
10:21:07 1802023
done=1 success=1 failed=0
27.05.2016 Info IPSEC ike_sa_created
10:21:07 1800904
ipsec_if=IPSec local_ip=212.45.12.106 local_port=500 remote_iface=wan remote_ip=195.9.120.242 remote_port=500 local_id=212.45.12.106 remote_id=195.9.120.242 local_ike_spi=0x3cfc538545904642 remote_ike_spi=0x8b9b8cbc456d04ba initiator=TRUE algorithms=des-cbc/hmac-md5-96/hmac-md5/MODP_1024 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=FALSE remote_behind_nat=FALSE initial_contact=FALSE
27.05.2016 Info CONN lan_to_ipsec TCP lan 192.168.0.3 2529 conn_open
10:21:07 600001 IPSec 192.168.1.4 139
conn=open
27.05.2016 Info CONN lan_to_ipsec TCP lan 192.168.0.3 2528 conn_open
10:21:07 600001 IPSec 192.168.1.4 445
conn=open
27.05.2016 Info IPSEC ipsec_started_successfully
7:19:56 1800214 ipsec_started

27.05.2016 Info IPSEC commit_succeeded
7:19:56 1800201


лог dfl-260e прошивка 2.27.08
27.05.2016 Предупреждение IPSEC ike_invalid_payload
10:48:38 1800106
local_ip=212.45.12.106 remote_ip=195.9.120.242 cookies= reason="IKE_INVALID_COOKIE"
27.05.2016 Информация IPSEC ipsec_sa_statistics
10:48:38 1803021
done=1 success=1 failed=0
27.05.2016 Информация IPSEC ipsec_sa_lifetime
10:48:38 1802046
sec=3600
27.05.2016 Информация IPSEC ipsec_sa_informal
10:48:38 1802043
spiin="93fcdb05 " spiout="1300e83e " alg=des-cbc keysize= mac=hmac-md5-96
27.05.2016 Информация IPSEC ipsec_sa_informal
10:48:38 1802058
local_id="192.168.0.0/24 any" remote_id="192.168.1.0/24 any"
27.05.2016 Информация IPSEC ike_sa_negotiation_completed
10:48:38 1802703 ike_sa_completed
local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="195.9.120.242 ID 195.9.120.242" initiator_spi="136aca3d f45747c0" responder_spi="bb9aecc3 e9268735" int_severity=6
27.05.2016 Информация IPSEC ipsec_sa_negotiation_completed
10:48:38 1802040 ipsec_sa_enabled
sa=Initiator info="tunnel" local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="195.9.120.242 ID 195.9.120.242" spi_in="ESP 93fcdb05" spi_out="ESP 1300e83e"
27.05.2016 Информация IPSEC ike_sa_negotiation_completed
10:48:38 1802703 ike_sa_completed
local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="195.9.120.242 ID 195.9.120.242" initiator_spi="136aca3d f45747c0" responder_spi="bb9aecc3 e9268735" int_severity=6
27.05.2016 Информация IPSEC ike_sa_negotiation_completed
10:48:38 1802024
options=Initiator mode="Main Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800

лог di-808hv прошивка 1.53ru
Friday May 27, 2016 10:49:41 Receive IKE M1(INIT) : 212.45.12.106 --> 195.9.120.242
Friday May 27, 2016 10:49:41 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Friday May 27, 2016 10:49:41 Send IKE M2(RESP) : 195.9.120.242 --> 212.45.12.106
Friday May 27, 2016 10:49:41 Receive IKE M3(KEYINIT) : 212.45.12.106 --> 195.9.120.242
Friday May 27, 2016 10:49:41 Send IKE M4(KEYRESP) : 195.9.120.242 --> 212.45.12.106
Friday May 27, 2016 10:49:42 Receive IKE M5(IDINIT) : 212.45.12.106 --> 195.9.120.242
Friday May 27, 2016 10:49:42 Send IKE M6(IDRESP) : 195.9.120.242 --> 212.45.12.106
Friday May 27, 2016 10:49:42 IKE Phase1 (ISAKMP SA) established : 195.9.120.242 <-> 212.45.12.106
Friday May 27, 2016 10:49:42 Receive IKE Q1(QINIT) : [212.45.12.106]-->[195.9.120.242]
Friday May 27, 2016 10:49:42 Requested routing is [192.168.0.0|212.45.12.106]<->[195.9.120.242|192.168.1.0]
Friday May 27, 2016 10:49:42 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Friday May 27, 2016 10:49:42 IKE Q1 : 192.168.0.0 -> 192.168.1.0 no pfs support
Friday May 27, 2016 10:49:42 Send IKE Q2(QRESP) : 192.168.1.0 --> 192.168.0.0
Friday May 27, 2016 10:49:42 Receive IKE Q3(QHASH) : [192.168.0.0|212.45.12.106]-->[195.9.120.242|192.168.1.0]
Friday May 27, 2016 10:49:42 IKE Phase2 (IPSEC SA) established : [192.168.0.0|212.45.12.106]<->[195.9.120.242|192.168.1.0]
Friday May 27, 2016 10:49:42 inbound SPI = 0x1300e83e, outbound SPI = 0x93fcdb05
Friday May 27, 2016 10:49:42 Send IKE (INFO) : delete [192.168.1.0|195.9.120.242]-->[212.45.12.106|192.168.0.0] phase 2
Friday May 27, 2016 10:49:42 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.0.0
Friday May 27, 2016 10:49:42 inbound SPI = 0x1100d601, outbound SPI = 0x1e9945c1

Разобрался с подключением туннеля! Туннель работает стабильно!
Но сетей не вижу!
Может надо правила добавить, тока не пойму какие?
Чтоб пинговались сети в обе стороны?
и видны были?

лог di 808
Thursday June 09, 2016 09:18:46 Send IKE M1(INIT) : 92.243.174.17 --> 212.45.12.106
Thursday June 09, 2016 09:18:46 Receive IKE M2(RESP) : 212.45.12.106 --> 92.243.174.17
Thursday June 09, 2016 09:18:46 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Thursday June 09, 2016 09:18:46 Send IKE M3(KEYINIT) : 92.243.174.17 --> 212.45.12.106
Thursday June 09, 2016 09:18:46 Receive IKE M4(KEYRESP) : 212.45.12.106 --> 92.243.174.17
Thursday June 09, 2016 09:18:46 Send IKE M5(IDINIT) : 92.243.174.17 --> 212.45.12.106
Thursday June 09, 2016 09:18:46 Receive IKE M6(IDRESP) : 212.45.12.106 --> 92.243.174.17
Thursday June 09, 2016 09:18:46 IKE Phase1 (ISAKMP SA) established : 212.45.12.106 <-> 92.243.174.17
Thursday June 09, 2016 09:18:46 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
Thursday June 09, 2016 09:18:46 Receive IKE Q2(QRESP) : [192.168.0.0|212.45.12.106]-->[92.243.174.17|192.168.1.0]
Thursday June 09, 2016 09:18:46 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Thursday June 09, 2016 09:18:46 Send IKE Q3(QHASH) : 192.168.1.0 --> 192.168.0.0
Thursday June 09, 2016 09:18:46 IKE Phase2 (IPSEC SA) established : [192.168.0.0|212.45.12.106]<->[92.243.174.17|192.168.1.0]
Thursday June 09, 2016 09:18:46 inbound SPI = 0xe003dce, outbound SPI = 0xa532039f

лог DFL-260e
2016-06-09
09:45:31 Информация IPSEC 1803021 ipsec_sa_statistics
done=57 success=56 failed=1

2016-06-09
09:45:31 Информация IPSEC 1802046 ipsec_sa_lifetime
sec=3600

2016-06-09
09:45:31 Информация IPSEC 1802043 ipsec_sa_informal
spiin="fc561b13 " spiout="100088ab " alg=des-cbc keysize= mac=hmac-md5-96

2016-06-09
09:45:31 Информация IPSEC 1802058 ipsec_sa_informal
local_id="192.168.0.0/24 any" remote_id="192.168.1.0/24 any"

2016-06-09
09:45:31 Информация IPSEC 1802703 ike_sa_negotiation_completed
ike_sa_completed
local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="92.243.174.17 ID 92.243.174.17" initiator_spi="75a50ed5 6583c4e1" responder_spi="747ad71f 1df49cee" int_severity=6

2016-06-09
09:45:31 Информация IPSEC 1802040 ipsec_sa_negotiation_completed
ipsec_sa_enabled
sa=Responder info="tunnel" local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="92.243.174.17 ID 92.243.174.17" spi_in="ESP fc561b13" spi_out="ESP 100088ab"

2016-06-09
09:45:31 Информация IPSEC 1802703 ike_sa_negotiation_completed
ike_sa_completed
local_peer="212.45.12.106 ID 212.45.12.106" remote_peer="92.243.174.17 ID 92.243.174.17" initiator_spi="75a50ed5 6583c4e1" responder_spi="747ad71f 1df49cee" int_severity=6

2016-06-09
09:45:31 Информация IPSEC 1802024 ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800

2016-06-09
09:45:31 Информация IPSEC 1802732 ipsec_sa_destroyed
spiin="ESP a532039f" spiout="ESP 0e003dce"

правила на DFL260e
как показано http://dlink.ru/ru/faq/92/520.html!

Тогда должно работать

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Пинг на ip 192.168.1.1 c dfl-860e на di-808 проходит!
Пинг на ip 192.168.0.1 c di-808 на dfl-860e не проходит!
правил похоже не хватает на DFL-860e! подскажите как написать правило?

У Вас должно быть 3 правила:

Allow lan/lannet tunnel/remote_net all_services
Allow tunnel/remote_net lan/lannet all_services
Allow tunnel/remote_net core/lan_ip all_services

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

спасибо за подсказку ! первые два правила были тока не хватало 3 на пинг!



Пингую тока х.х.0.1 или х.х.1.1 тока шлюзы, а сети х.х.0.3 или х.х.1.2 не пингуются!

C:\Documents and Settings\user>ping 192.168.0.1

Обмен пакетами с 192.168.0.1 по 32 байт:

Ответ от 192.168.0.1: число байт=32 время=15мс TTL=254
Ответ от 192.168.0.1: число байт=32 время=12мс TTL=254
Ответ от 192.168.0.1: число байт=32 время=11мс TTL=254
Ответ от 192.168.0.1: число байт=32 время=10мс TTL=254

Статистика Ping для 192.168.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 10мсек, Максимальное = 15 мсек, Среднее = 12 мсек

C:\Documents and Settings\user>ping 192.168.0.3

Обмен пакетами с 192.168.0.3 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.0.3:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

C:\Documents and Settings\Виктор>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по 32 байт:

Ответ от 192.168.1.1: число байт=32 время=12мс TTL=63
Ответ от 192.168.1.1: число байт=32 время=10мс TTL=63
Ответ от 192.168.1.1: число байт=32 время=10мс TTL=63
Ответ от 192.168.1.1: число байт=32 время=11мс TTL=63

Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 10мсек, Максимальное = 12 мсек, Среднее = 10 мсек

C:\Documents and Settings\Виктор>ping 192.168.1.2

Обмен пакетами с 192.168.1.2 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.2:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

С чем может быть связано?

смотре6ть в логи . кто отбивает , и попробовать трассировку снять , иногда забавно бывает
смотрите на DFL там более информативно , на DI не знаю . давно на полке лежит.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Думаю, не совсем так как Вы пишите. Скорее всего сетевой принтер, телевайзер, точка WiFi, голосовой шлюз или какое-то другое автономное устройство без доп. защиты, у которого есть IP-адрес - должны пинговаться.
С экранами антивирусов и/или настройками брандмауэра на компах.
Сделайте соответствующие разрешения в операционной системе на общение по всем сервисам TCP/UDP между компьютерами из подсетей 192.168.0.XXX и 192.168.1.ХХХ.
Это 2 строчки в Брандмауэре Windows на каждом компьютере.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...