Не получается скрестить PIX и DI-804HV. Шаманил изо всех сил, бубен тряс, двери открывал-закрывал , но так ничего и не получилось. Со стороны PIXa фигня выглядит вот таким вот образом:

--------
crypto_isakmp_process_block: src D-LINK_ADDRESS, dest PIX_ADDRESS
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
ISAKMP: encryption DES-CBC
ISAKMP: hash SHA
ISAKMP: auth pre-share
ISAKMP: default group 1
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x0 0x70 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src D-LINK_ADDRESS, dest PIX_ADDRESS
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

return status is IKMP_NO_ERROR
crypto_isakmp_process_block: src D-LINK_ADDRESS, dest PIX_ADDRESS
ISAKMP: reserved not zero on payload 5!
crypto_isakmp_process_block: src D-LINK_ADDRESS, dest PIX_ADDRESS
ISAKMP: reserved not zero on payload 5!
---------

где-то наткнулся на то, что "reserved not zero" сигнализирует о расхождении в паролях. однако, проверено не раз, в глазах не двоится - пароли правильные с обоих сторон.

помогите! я железяку взял на время, попробовать, и очень хочется чтобы оно таки заработало.

p.s.
прошивка оригинальная, версии 1.20 Mar 11, 2003 - может в ней дело? есть ли смысл попробовать 1.34?

p.p.s.
при соединении с помощью обычного модема до провайдера и поднятии ipsec-a до PIX-a с помощью windows2000 всё работает как часики. так какого фига оно не работает на "железе"?

Попробуйте новую прошивку.

_________________
С уважением, Дмитрий Письменов

Ура! Ура!
С прошивкой 1.34 всё заработало!
Спасибо!

Радость пока оказалась несколько... гхм... неполной. Уже в который раз наблюдаю на консоли PIX-а следующую ошибку:

>IPSEC(ipsec_prepare_encap_request): ERROR: unable to fragment
>packet pktsize=1492, eff_mtu = 1444

Понятно, что что-то не так с mtu, но с какой стороны крутить его? На компе, который подключен к роутеру, на PIX-e, на роутере?

Не силен в PIX, но имхо он говорит, что не могу фрагментировать вошедший пакет размером 1492 байта. А он сам понимает размером до 1444.
Крутить либо на компе в сторону уменьшения, либо на ПИКСе в сторону увеличения.

На PIXе по всем интерфейсам стоит mtu 1500. С рождения.
Точно надо крутить на винюках?

Поскольку 804 не позволяет задавать MTU, то остается только так.

Поскольку 804 позволяет задать MTU... уменьшил до значения, которое кричал пикс - 1444. Ошибки вроде бы исчезли...

p.s.
прошивка 1.34

Вдогонку... относительно производительности.

Тестовый стенд - машинка с w2000->804HV->10Mbit HUB->PIX->FileServer. Скорость чтения файла с сервака в среднем вертится около 250Кb/sec. Пока непонятно, где самое "тормозное звено"... но попробовать на 100Mbit у меня тривиально не хватило лишнего хаба.

Такая скорость и должна быть?

Тестировали производительность IPSec между двумя DI-804HV - максимальная скорость около 8 Мбит/с (соединяли их друг с другом кабелем "кроссовер"), это при использовании AH вместо ESP и с хэшем MD-5.

_________________
С уважением, Карагезов Владислав

AH вместо ESP... у меня ESP/DES/SHA. видимо, более трудоёмкие алгоритмы... интересно, что будет с 3DES...

У нас было вот это: http://www.dlink.ru/technical/faq_inter ... er.html#11
Но по опыту могу сказать, что выбор хэширующей функции также сказывается на производительности.

_________________
С уважением, Карагезов Владислав