Доброе время суток!
пытаюсь настроить IPSec тунель между двумя g804v. сделал все по инструкции из FAQ. именно:
1.00.08.dg3

Схема

Локальная сеть:
компьютер (IP: 192.168.44.1/24,
DSL-G804V:
LAN IP: 192.168.44.254
WAN IP: 78.138.190.32

Настройки IPSec:
Enable after Apply: yes
Connection Name: IP
Local Network: Subnet
IP address: 192.168.44.0
Netmask: 255.255.255.0
Remote Secure gateway IP: 10.228.131.234
Remote Network: 192.168.11.0
Netmask: 255.255.255.0
Proposal: ESP
Authentication Type: MD5
Encryption: 3DES
Perfect Forward Secrecy: MODP 1024 (Group2)
Pre-shared key: 123456
Advanced options: настройки по умолчанию

Удаленная сеть:
компьютер (IP: 192.168.11.2/24,)
DSL-G804V:
LAN IP: 192.168.6.1/24
WAN IP: 10.228.131.234
Настройки IPSec:
Enable after Apply: yes
Connection Name: IP
Local Network: Subnet
IP address: 192.168.11.0
Netmask: 255.255.255.0
Remote Secure gateway IP: 78.138.190.32
Remote Network: 192.168.44.0
Netmask: 255.255.255.0
Proposal: ESP
Authentication Type: MD5
Encryption: 3DES
Perfect Forward Secrecy: MODP 1024 (Group2)
Pre-shared key: 123456
Advanced options: настройки по умолчанию

канал подымается - галки зеленые горят, connected. с одной стороны ping-и идут только до модема (192.168.44.254). до компов в сети доступа нет. с другой стороны ping-i не проходят. что можно сделать?

модем 78.138.190.32 говорит о блокировании протокола 47 (с(на) адреса ?)78.138.190.32>10.228.131.234. как снять блокировку, если в настройке FireWall прописал правила (на обоих модемах) - 78.138.190.32-10.228.131.2340-65535, и 10.228.131.234-78.138.190.32 0-65535?

логи с утройства 78.138.190.32
----------- system log buffer head --------------
firewall:info: 133031.216 Blocked Prot=17, 10.228.131.234:500 > 78.138.190.32:500 -Default Defense

Aug 23 09:05:42 DSL-G804V:firewall:info: 133039.792 Blocked Prot=47, 78.138.190.32 > 10.228.131.234 -Default Defense

Aug 23 09:06:34 DSL-G804V:firewall:info: 133091.478 Blocked Prot=6, 190.66.169.115:2188 > 78.138.190.32:23, S Seq=-1559094566, Ack=0 -Port Filter Defense

Aug 23 09:07:08 DSL-G804V:pptp_vpn:none: PPTP Disconnected ...
Aug 23 09:07:29 DSL-G804V:webserver:error: vim namespace form error: invalid operation 'cli'
Aug 23 09:07:30 DSL-G804V:ike:none: [INFO]Add policy 0001_02_01
Aug 23 09:07:30 DSL-G804V:ike:none: [INFO]Version 1.00.08.dm12 - 02 April 2009
Aug 23 09:07:30 DSL-G804V:ike:none: [INFO]Initiating Main Mode for policy 0001_02_01
Aug 23 09:07:33 DSL-G804V:ike:none: [INFO]ISAKMP SA established for policy 0001_02_01 (SA #12138)
Aug 23 09:07:33 DSL-G804V:ike:none: [INFO]Initiating Quick Mode for policy 0001_02_01
Aug 23 09:07:35 DSL-G804V:ike:none: [INFO]IPSec SA established for policy 0001_02_01 (SA #12139)
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG]IKE add IPSEC SA (inbound):
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG]New SA: SPI=31016b9d IP=ea83e40a 20be8a4e
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG] 1st said=3 rid=0
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG]IKE add IPSEC SA (outbound):
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG]New SA: SPI=1aae7c4a IP=20be8a4e ea83e40a
Aug 23 09:07:35 DSL-G804V:ipsec:none: [DEBUG] 1st said=2 rid=0
Aug 23 09:09:45 DSL-G804V:firewall:info: 133282.810 Blocked Prot=1/8/0, 10.225.17.5 > 78.138.190.32 -Port Filter Defense
----------- system log buffer tail --------------


логи с устройства 10.228.131.234

----------- system log buffer head --------------
аug 24 01:36:12 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:13 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:13 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:14 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:14 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:15 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:15 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:16 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:16 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:17 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:17 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:18 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:18 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:19 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
Aug 24 01:36:19 DSL-G804V:ipsec:none: [INFO]IPSEC Try to Search Unused Policy 1.
----------- system log buffer tail --------------

Привет!

Я настраивал такой канал между DSL-G804V и DI-824VUP+ - работает стабильно, несмотря на то, что к модему доступ через ДДНС.
Советую прошить 804-й на 1.00.08.dm12, сбросить всё на дефолт,
настроить модемную часть и пробовать поднимать канал. файрвол и прочее - пока не трогать. Имеет значение - один и тот же провайдер на обеих концах или нет. И ещё - я, помнится, advanced setting для IPsec всё-таки ковырял - настройки безопастности согласовывал, но это для 2-х 804-х может и не надо.

в том то и дело, что всего 9 модемов и 3 провайдера... 7 + 1+1. этот случай как раз из серии 1+1

Используйте прошивку 1.00.08.dm12 на обоих модемах.

прошивка везде одинаковая - 1.00.08.dm12

Привет!
Изначально о прошивке писали - 1.00.08.dg3
Тогда, если не выходит - смотри Адвансед-настройки

Со стороны первой сети вижу у модема внешний IP-адрес.
А со стороны второй сети на WAN-интерфейсе адрес 10.228.131.234 - внутренний. Это говорит о том, что между Вашими двумя сетями имеется NAT.
IPSec не сможет пройти через NAT. Для реализации такой возможности был придуман протокол NAT Traversal (NAT-T). Но, к сожалению, DSL-G804V не поддерживает его.

Пути решения:
1. Использовать оборудование с поддержкой IPSec NAT-T (например, DI-804HV, DFL-xxx)
2. Обсудить с провайдером возможность получения внешнего IP-адреса.

вопрос. провайдер говорит, что это внешний IP. кстати, и плату берет как за внешний. у нас есть еще пара мест, где именно такой расклад - 78.х.х.х с одной стороны и 10.х.х.х с другой. провайдер один и тот же. только в первой случае (из темы) это 2 разных города, а во втором - один (не знаю, имеет ли это значение). так вот - во втором случае эта связка работает.... почему?

и все таки... с одной стороны - там где 78..х.х.х бьется только модем. с другой стороны - там где 10.х.х.х - бьется противоположная сетка без проблем. чтоя сделал неверно?

10.х.х.х - выделено под локальные внутренние адреса. Естественно пакеты для них не пройдут по глобальной сети из города в город. В одном городе , а иногда и в целой области это "легальные" адреса и тогда все работает.