Добрый день.

Проблема: не удается установить VPN канал IPsec между DFL 860e и Azure RM.
Порты 500 и 4500 открыты на обоих хостах - это проверено с помощью nmap.
Прошивка на Dlink "правильная" с шифрованием:10.22.01.04-26408

На dlink следующие ошибки:

2016-12-02
16:45:25
Warning
IPSEC
1802022
ke_sa_failed - no_ike_sa
statusmsg="Use IKEv1" reason="" local_peer="local_ip:500 ID (null)" remote_peer="azure_ip:500 ID (null)" spi_i=0x85c8809c9e1d088c spi_r=0xd8e0c412eb17bdd4 initiator=FALSE

2016-12-02
16:45:24
Error
IPSEC
1802221
no_matching_tunnel_found
packet_will_be_discarded
localaddr=local_ip remoteaddr=azure_ip srcif=Beeline

Настройки уже много раз просмотрены - вроде все ок.
Как бы более точно определить, почему они "дружить" не хотят?

Спасибо!

no_matching_tunnel_found


Показывайте скрины настроек с обоих сторон

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да, меня удивляет то, что порты открыты, но при этом, я так понимаю, никаких попыток соединения нет.

Попробую лог из Ажура вытащить.

Azure - подключение Сеть — сеть (IPsec)

Azure - Vnet

----

Подсети

Имя Диапазон адресов Доступные адреса
subnet 192.168.10.0/25 123
GatewaySubnet 192.168.10.128/28 10

Хотелось бы конечно скрины других вкладок IPSec на DFL.
как минимум одна из ошибок - несоответствие масок в подсети 192.168.10.0

А вообще - нарисуйте схему подключения (прежде всего для себя самого), где для каждой из сторон тоннеля будут указаны:
- local network
- remote retwork
- local wan_ip
- remote gateway ip
- алгоритм IKE
- алгоритм IPSec
- PSK

Должно быть соответствие, близкое к зеркальному.

Можете показать нам, затерев как ранее, критичные значения полей, подумаем вместе.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Удалил все настройки и сделал все с нуля на Ажуре (айпи и подсети теперь другие). Решил в этот раз через powershell по статье

https://docs.microsoft.com/ru-ru/azure/ ... powershell

Результат тот же. Печаль....

Ниже все настройки Dlink.

продолжение

И еще

local network: 10.1.2.0/24
remote network: 10.0.0.0/16
remote subnet: 10.0.0.0/28
remote GatewaySubnet 10.0.1.0/28

local wan_ip: 212.119.***.***
remote gateway ip: 13.79.***.***

UPD: есть некоторый прогресс, статус подключения в Ажуре меняется с "Идет подключение" на "Успех", но после нескольких секунд возвращается с "Идет подключение".
Передача пакетов в обе стороны = 0.
На Dlink ошибки не изменились.

UPD 2: видимо это бага графической части Ажура, посокльку через powershell статус канала не меняется.

Как Вы получаете интернет на DFL?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Статика от билайна - два ip приходят. Нужны для двух разных сервисов на 443 порту, но это другая история ) они работают исправно.

может попробовать виды шифрования расширить (включить des), а то мож микрософт применяет "местные правила" (как например в почтовом сервисе) и для РФ не использует 3DES?
(законом то предоставлять комм. услуги на основе 3DES запрещено, а они официально работают)
с маршрутами то, для канала, все в порядке?

Напрямую на wan или тоннелем?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...