Утро доброе.
никак не удается прикрутить авторизацию на сертификаты...

Есть DFL1600 (2.20.01), настроен L2TP_over_IPSec, если использовать для авторизации pre-shared-key - всё работает.

Создал 2 self-signed сертификата (через Crypto 4PKI), один для пользователя второй для DFL., залил их на Dlink, затем в настройках IPSec в качестве root cert - выбрал сертификат пользователя, в меню gateway cert- сертификат для DFL.

На клиенсткой машине импортировал сертификат пользователя в оба контейнера - пользователя и компьютера.
подключится не удается...
Могу показать полностью лог ikesnoop, если это поможет , вот последние строки из него


p/s ещё очень старнная вещь на 1600 проиходит в момент когда жмешь в Xp\vista подключится - на DFL "пересоздаются" все текущие IPsec туннели т.е в логе я вижу что было пере-подключение, а на 804hv (что на дургом конце тонеля) это подтвержается тоже в логе + обновялется Lifetime... - почему так происходит ??.. и собственно есть какие идеи\опыт по настройке авторизации на серификаты у кого ?

заранее спасибо.

Update.
Вычитал в мануале что соединение в Xp\vista надо создавать только после импортирования сертификатов!
Удалил сертификаты и соединение, добавил сертифкат заново, создал подключение , теперь и ошибка на подключение другая и в консоли...


Кто-нибудь из тех-поддержки сможет мне помочь? =\, вижу что пишет "No proposal chosen", но какие порпаслы имеются ввиду когда используются сертификаты,куда копать ? (хочу напомнить что у меня если с сертификатов переключить на pre-sahred key - всё работает т.е IPsec настроен корректно).

и ещё, обезательно ли использовать ID list с сертифкатами? (я пробовал и так и так ...результат не менялся..), просто хочется понять обезательно ли это использовать., или поле можно оставлять пустым.

Спасибо.

ТУт сразу бросается в глаза "Could not find acceptable proposal" это говорит о том, что устройство не могут договориться о IKE/IPSec Proposal.

По поводу того как всеже использовать L2TP over IPSec с авторизацией по сертификатам вы можете прочитать тут http://www.mediafire.com/?mlpbnjilrkt

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да я понимаю что бросается в глаза, в тоже время ещё раз если переключить на pre-shared-key без именения чего либо ещё - всё работает... =\ т.е договорится о IKE/IPSec у него неполуччается только когда использует сертификаты...

Файлик что вы выложили не скачивается, но судя по названию я именно его скачал с dlink.com, и именно по нему настраивал..

в любом случае спасибо..буду ковыряться ещё...=)

p/s а про обезательное\ не обезательное использование ID list что-нибудь посоветуете?

Попробуйте скачать еще разю Могу выслать так же по почте если ящик большой.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

dt@fromru.com

Спасибо.

Update.
Удалось привязать на сертификат., только пока Dlink не хочет проверять CRL лист (отозванные сертифкаты на сервере), хотя парамерт в IPsec Advance Setting - IKE CRL Validity Time: - 86400(раз в день) =(

Так же не очищается Certcache (в консоли видно), выставлял опять таки в Advance Setting допустим хранить 1 или 2 сертификата..., он по прежнему держит там все когда либо запрошенные., есть ли какая команда очищать кэш из консоли?..в мануале не нашел ...


и самая "напрягающая" проблема, вопрос к Sergey Vasiliev,
Я уже писал об этом в первом посте - после того как пользователь пытаеться инициировать подключение по l2tp - т.е DFL получает входящие подключение к IPSec, DFL зачем то "удаляет некоторые SA от других IPSec тонелей , и шлет им новый запрос (В консоли видно по ikesnoop это он шлет IKE sending первым", в логе это выражаться так:

и ещё 10 с десяток таких же нотисов , затем идут страницы на 4 логов о подключение этих тонелей назад.... - пришлось отключить временно syslog , потому что каждое тестовое подключение на l2tp превращает лог в "ничто"...

Сергей, надеюсь вы сможете помочь...хотябы понять для чего или по какой причине DFL может это делать.
Заранее спасибо.

Проблема с отозваными сертификатами известна, мы работаем над её устранением. Устройство убивает IKE после токо как life time вышел, затем переустанавливает это соединение.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо! ...я уже так и понял что это какая-то беда с CRL - проверяет он его только 1 раз , после перезагрузки при первом обращение по сертификату., ну ладно пока что можно l2tp юзеров блокировать , а длинк ребутить переодически, надеюсь в ближайшем будущем исправят.

з.ы глюк с "убиванием" SA после инициализации l2tp сошел на нет(слава богу), но там действительно было массово, хотя до конца лайф-тайма было ещё ого-го сколько., кажется после очердной power-on-state перезагурзки.

Скиньте ещё мне на почту. Заранее пасибо.

Доброго дня!

Коллеги, помогите. У меня та же ситуация, уже несколько дней бьюсь с настройками, работает по PSK, а вот с сертификатами не удается.
Постоянные проблемы: ike_sa_failed no_ike_sa

Сертификаты создавал: http://www.dlink.ru/ru/faq/92/924.html
L2TP и IPSec настраивал по D-Linkовским инструкциям.

Аппарат DFL-210, пробовал также на DFL-860E, абсолютно такой же результат, то есть есть ошибка в моих действиях.
Прошивка 2.27.05.35-17110

Не могли бы Вы скинуть упоминаемую здесь инструкцию http://www.mediafire.com/?mlpbnjilrkt на адрес boris888@list.ru?
Спасибо.

С уважением,
Борис

Добрый день.
Та же проблема, нигде не нашел решения.
L2TP/IPSEC работает с использованием PSK, с сертификатами не работает.
DFL-860E 2.60.02.02-24262.
Настройки по инструкции "Как настроить туннель L2TP over IPSec..." от Dlink, сертификаты по http://www.dlink.ru/ru/faq/92/924.html

Если есть мануал, способный решить эту проблему, выложите, пожалуйста, куда-нибудь, или скиньте на почту sanya-51@mail.ru

И еще неясность. В "Руководство пользователя DFL-210/260/800/860/1600/1660/2500/2560/2560G NetDefendOS Версия 2.27.01" написано: "Загрузите Корневой сертификат и Сертификат шлюза в NetDefendOS. Необходимо загрузить два компонента корневого сертификата: файл сертификата и файл приватного ключа. Для сертификата шлюза необходимо добавить только файл сертификата.", а в инструкции http://www.dlink.ru/u/faq/92/924.html наоборот, корневой сертификат один, а сертификат шлюза с приватным ключом. Как все таки настраивать?

Лог: