Имею DFL-100, firmware 2.29, hw A1
Есть необходимость поднять IPSec VPN туннель с удаленной сетью за Windows Server 2003 (на другом конце).

Прочитал множество мануалов, как на вашем сайте, так и у Microsoft.
Есть ощущение что понимаю что делаю, но туннель не работает. При этом проявляются следующие симптомы:
1. Устанавливается 2 одинаковых туннеля до состояния Est Phase 2 (что подозрительно)
2. На противоположной стороне в это время фиксируется только один (что в общем-то правильно)
3. Диагностические пакеты отправленные из одной сети в другую через туннель фиксируются на DFL-100 сразу в двух туннелях, то на машину отправитель ответы не возвращаются.
4. п.3 справедлив для любого направления: хоть отправитель находится в сети за DFL-100, хоть в удаленной за w2k3

5. Попробовали постоить аналогичный туннель с DI-804HV и тем же w2k3 - все заработало как положено.

Подскажите какая версия прошивки DFL-100 реально работает с IPSec VPN? Если версия 2.29 в этом отношении не работоспособна, то где взять рабочую?
P.S. Может ли подобная проблема быть связана с аппаратной неисправностью устройства?

Основной вопрос остается в силе.
Хотя есть некоторые сдвиги:
1. Повторная прошивка на firmware 2.29 помогла избавиться от "двойного" канала.
2. IPSec Pass-Through работает (ipsec туннель между виндовыми серверами по разные стороны dfl-100 работает), что подтверждает, что на пути для IPsec туннеля нет преград.

А вот туннель DFL-100 - w2k3 работать отказывается. При верной конфигурации параметров, он поднимается на 2-3 посланный пакет, но пакеты на машину отправитель не возвращаются.
В чем изъян?

http://www.dlink.ru/newphorum/doc.php
пункт 5

_________________
С уважением, Карагезов Владислав

Модель устройства: D-Link DFL-100 Firewall / VPN Router
Версия FW: 2.29
Версия HW: A1


Не работающая, но желаемая схема:
(Сеть А)---[DFL-100]--{Internet}--[w2k3router]---(Сеть В)
Параметры DFL-100:
1. Negotiation ID: [IP-адресс внешнего интерфейса]
2. Remote IP: [IP внешнего интерфейса w2k3]
3. Remote Net: [Номер и маска сети В]
4. Pre-Shared Key: [Тот же что и на w2k3]
5. IKE Encryption: 3DES
6. IKE Hash: MD5
7. IKE Life Duration: 28800
8. SA Life Duration: 28800
9. IKE PFS Mode: 768-bit
10. IPSec PFS Mode: Disable
11. IPSec Operation: ESP
12. IPSec ESP Transformation: DES
13. IPSec ESP Auth: HMAC-MD5
На стороне w2k3 применяются те же параметры IPsec и IKE

Работающая, но не желаемая схема:
(Сеть А, w2k3ipsec)---[DFL-100 in IPSec Pass-Through]--{Internet}--[w2k3router]---(Сеть В)
Параметры IPsec и IKE идентичны первому варианту


Не работает канал для схемы [DFL-100-IPSecVPN]<-->[w2k3IPSecVPN].
В тоже время схемы [DI-804HV-IPSecVPN]<-->[w2k3IPSecVPN] и [w2k3-IPSecVPN]--[DFL-100-IPSecPass-Through]<-->[w2k3IPSecVPN] с с теми же параметрами работают на ура.
Происходит вот что: при попытке отправить пинг из сети А в сеть В, в статусе IPsec туннеля на DFL-100 вижу как туннель поднимается до состояния Phase 2 Est. Отправленные пакеты фиксируются счетчиками этого туннеля на DFL-100, однако на противоположой стороне пакеты не появляются (не фиксирует ПО), а счетчик принятых пакетов так и остается без изменений (т.к. до того конца туннеля пакеты не доходят и отвечать на них не кому).
Отправляя пакеты из сети В в сеть А вижу противоположную картину: увеличивается счетчик принятых пакетов, а счетчик отправленных остается без изменений.
Естественно в обоих случаях ни одна из отправляющих сторон не получает ответов на свои запросы... т.е. только "Превышен интервал ожидания для запроса...".

Такое ощущение, что пакеты уходящие из сети А в туннель и приходящие по туннелю из сети В попросту не покидают DFL-100...
Но доказательств тому пока нет, т.к. нет возможности "проснифферить" сеть.


Хотелось бы заставить работать туннель по первой (более лаконичной и оплаченой) схеме.


Извините, но такой возможности сейчас нет.

Ребята, нежели я не дождусь ни одного калиффицированного совета?

Я уже ничего не понимаю в поведении этого чудо-устройства DFL-100
Только совсем недавно (недели 2 тому назад) я писал что проблема 2-х каналов (см. 1 топик) исчезла после повторной пепепрошивки. Так вот буквально пару дней назад она всплыла снова, хотя параметры устройства и условия его работы ни сколько не изменялись - была всего-лишь проведена очередная попытка поднять штатный IPSec туннель с рабочими параматрами (см. пред. топик). Изменения конечно были, но только по делу: Выкл IPSec Pass-Through, Вкл IPSec Tunneling.
Ну и конечно же с места ничего не сдвинулось

К сожалению у меня нет W2K3, да даже если б и был, то мало что я в нем понимаю... У меня туннели с этого устройства нормально поднимаются и на DFL (разные, 100, 600, 700 ...), и на DI-804HV, и на линуксовый isakmpd + kernel 2.6 IPSec. Сложно что то комментировать. попробуйте установить туннель с 804ым -- поднимется?

_________________
С уважением -- Александр Шебаронин.

Александр, спасибо за реакцию.

Думаю дело тут не в особенностях 2k3 или 804 (с которым, как я уже выше писал, FL-100 тоже аналогично не работает). Гвоздь где-то в DFL-100, ведь минуя его туннель функционирует как положено.

Привезите устройство в сервис. Надо его протестировать -- я не могу у себя на таких же устройствах воспроизвести вашу ситуацию.

_________________
С уважением -- Александр Шебаронин.