UP

Вопрос такого плана - требуется настроить на DFL-800 динамические IPSec туннели,
(по принципу как DI-80хHV)
Как?
куда его пнуть

Туннели с указанием конечной точки настроены и работают.. а вот как сделать без ее указания?

Какой вы имеете ввиду? IPSec или PPTP туннель?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В инструкции есть пример подобной настройки.

Ставим в remote endpoint none, remote net all-nets затем снимаем галочку add route for remote network и ставим на Dynamically add route to the remote network when a tunnel is established.

В инструкции пример настройки для завертывания в IPSec трфика L2TP,
это не то что я хочу видеть...

если делать так при создании стандартного IPSec туннеля,
то коннект не происходит - DFL начинает дропать все пакеты на 500 порт...
причем если указать ремоте нетворк в соответствии с маской удаленной сети
и указать ремоте ендпоинт в айпи удаленного 804HV,
то тунель тутже подымается без проблем
при изменении любого из этих параметров начинается дроп пакетов...
Что нужно подкрутить и как?

Внимательней отнеситесь к конфигурации, у нас подобная схема внедрена, и используется на практики, могу посмотреть вашу конфигурацию.

Настройки на DI-804HV
---------------------
VPN [x] Enable
Max. number of tunnels - 10
ID - 1
Tunnel Name - "Test"
Method - IKE
---------------------
Aggressive Mode - Disable
Local Subnet - 172.16.2.0
Local Netmask - 255.255.255.0
Remote Subnet - 172.16.33.0
Remote Netmask - 255.255.255.0
Remote Gateway - 1.2.3.4 (тут еcсно белый IP DFL`a)
Preshare Key - "123456"
Auto-reconnect [x] Enable
---------------------
IKE Proposal
ID - 1
Proposal Name - "DFL-800"
DH Group - Group1
Encrypt algorithm - DES
Auth algorithm - SHA1
Life Time - 14400
Life Time Unit - Sec
IKE Proposal index - "DFL-800" (активный индекс)
---------------------
IPSEC Proposal
ID - 1
Proposal Name - "DFL-800"
DH Group - Group1
Encap protocol - ESP
Encrypt algorithm - DES
Auth algorithm - SHA1
Life Time - 3600
Life Time Unit - Sec
IPSec Proposal index - "DFL-800" (активный индекс)
=====================

Настройки на DFL-800
General
Name: Dyn_IPSec_Tunnel
Local Network: 172.16.33.0/24
(тут ессно прописаны алиасы, но пишу циферками для наглядности)
Remote Network: 172.16.2.0/24
Remote Endpoint: 4.3.2.1 (тут еcсно белый IP DI-804HV)
Encapsulation Mode: Both
IKE Config Mode: None

Algorithms
IKE Algorithms: DES, MD5, SHA1
IKE Life Time: 14400
IPsec Algorithms: DES, MD5, SHA1
IPsec Life Time: 3600 Sec
---------------------
Authentication
Pre-shared Key: "123456"
Local ID Type: Auto
---------------------
IKE XAuth - Off
---------------------
Automatic Routing - Dynamically add route to the remote network when a tunnel is established

Packet Sizes - 1424

IP Addresses - Automatically pick the address of a local interface that corresponds to the local net
---------------------
IKE Settings
IKE - Main
DH Group - 1

Perfect Forward Secrecy - PFS
DH Group - 1

Security Association - Per Net

NAT Traversal - On if supported and NATed

Dead Peer Detection - Yes
---------------------

Keep-alive - Auto
---------------------
Advanced
Add route for remote network - No
=====================


В правилах прописано (два правила там ессно)

LAN <=> Dyn_IPSec_Tunnel Allow All_Service

Туннель работает
Обмен пакетами с 172.16.2.1 по с 32 байт данных:
Ответ от 172.16.2.1: число байт=32 время=12мс TTL=63
Ответ от 172.16.2.1: число байт=32 время=8мс TTL=63
Ответ от 172.16.2.1: число байт=32 время=14мс TTL=63
Ответ от 172.16.2.1: число байт=32 время=9мс TTL=63
Статистика Ping для 172.16.2.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0

При установке
Remote Network: all-net
Remote Endpoint: none
....

все заработало... ;№%ть... конфу не меняла
мистика.. якорь ему в з%:;%цу!
я вчера до трех ночи пропурхалась с ним

Хорошо... один клиент прицеплен...ок
тогда следующий вопрос:
Мне нужно подцепить 5 штук, как это сделать?
Нужно под каждого свой динамический туннель "копать",
или он этот "размножать" будет, как это DI-804HV делает?

Будет размножать этот, главное чтоб удаленные подсети были разные.

Ок. Спасибо.
Следующий вопрос:

Как задать ДНС имя VPN-сервера в PPTP/L2TP клиенте?

Т.к. столкнулись с ситуацией, когда VPN.провайдер.ru является пулом адресов.

Темный Ангел, об этом уже было и не раз, например тут

thanx
Видела где-то, но не смогла поиском найти эту тему

Sergey Vasiliev

Возможно ли поднятие двух динамических тоннелей (Tunnel_01 и Tunnel_02)
с разным уровнем безопасности (скажем 1-й DES и 2-ой 3DES)
с разными ключами есстественно?

От изменения уровня шифрования вы не выиграете в скорости в данном случае. Тогда есть ли смысл?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Проблема не в скорости, а в стабильности подключения
Есть один хост (особо ценного в нем ничего нет), он висит на Скайлинке,
ну он в такой Ж стоит, что туда больше ничего не ведут.
Так вот при высоком уровне шифрования и более стойких алгоритмах,
до хоста нереально достучаться, пакеты доходят в туннеле 2-3 из 10.
При низком жить можно 8-10 из 10

Так что вопрос остается в силе.