Добрый день!
Не получается заставить работать сабж по IPSec. Со стороны PIX локалка 192.168.1.0/24. Между PIX и DI-804HV сетка 192.168.2.0/30. Со стороны DI-804HV локалка 192.168.3.0/24.
Конфиг пикса (лишнее отсеку)
....
access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0
....
ip address outside 192.168.2.1 255.255.255.252
ip address inside 192.168.1.1 255.255.255.0
...
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 192.168.3.0 255.255.255.0 192.168.2.2 1
...
sysopt connection permit-ipsec
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address 101
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer 192.168.2.2
crypto map mymap 10 set transform-set myset1
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 192.168.2.2 netmask 255.255.255.255
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
....


Конфиг DI-804HV (напишу словами)
WAN - Static 192.168.2.2 mask 255.255.255.252
LAN - 192.168.3.1 mask 255.255.255.0
VPN - method IKE
Local Subnet - 192.168.3.0 mask 255.255.255.0
Remote Subnet - 192.168.1.0 mask 255.255.255.0
Remote Gateway - 192.168.2.1
Preshared Key - такой же в точности, что и на ПИКСе
IKE Proposal: DH Group - Group 2, Encrypt algorithm - 3DES, Auth algorithm - SHA1, Life Time - 86400, Life Time Unit - Sec
IPSec Proposal: DH Group - Group 2, Encap Protocol - ESP, Encrypt algorithm - 3DES, Auth algorithm - SHA1, Life Time - 28800, Life Time Unit - Sec

С компьютера с адресом 192.168.3.2, который включен в один из внутренних портов DI-804HV пытаюсь сделать пинг на комп 192.168.1.2, который за пиксом, соответственно. Получаю:
лог д-линка:
14 августа 2004 г. 5:25:23 Send IKE M1(INIT) : 192.168.2.2 --> 192.168.2.1
14 августа 2004 г. 5:25:24 Receive IKE M2(RESP) : 192.168.2.1 --> 192.168.2.2
14 августа 2004 г. 5:25:24 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
14 августа 2004 г. 5:25:24 Send IKE M3(KEYINIT) : 192.168.2.2 --> 192.168.2.1
14 августа 2004 г. 5:25:25 Receive IKE M4(KEYRESP) : 192.168.2.1 --> 192.168.2.2
14 августа 2004 г. 5:25:25 Send IKE M5(IDINIT) : 192.168.2.2 --> 192.168.2.1
14 августа 2004 г. 5:25:25 Receive IKE M6(IDRESP) : 192.168.2.1 --> 192.168.2.2
14 августа 2004 г. 5:25:25 Receive IKE INFO : 192.168.2.1 --> 192.168.2.2
14 августа 2004 г. 5:26:16 Send IKE (INFO) : delete 192.168.2.2 -> 192.168.2.1 phase 1
14 августа 2004 г. 5:26:16 IKE phase1 (ISAKMP SA) remove : 192.168.2.2 <-> 192.168.2.1

на пиксе:
ISAKMP (0): Checking ISAKMP transform 1 against priority 10 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash SHA
ISAKMP: auth pre-share
ISAKMP: default group 2
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_FQDN
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:192.168.2.2, dest:192.168.2.1 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:192.168.2.2, dest:192.168.2.1 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing ID payload. message ID = 0
ISAKMP (0): processing HASH payload. message ID = 0
ISAKMP (0): SA has been authenticated

ISAKMP (0): ID payload
next-payload : 8
type : 2
protocol : 17
port : 500
length : 15
ISAKMP (0): Total payload length: 19
return status is IKMP_NO_ERROR
ISAKMP (0): sending INITIAL_CONTACT notify
ISAKMP (0): sending NOTIFY message 24578 protocol 1
VPN Peer: ISAKMP: Peer ip:192.168.2.2/500 Ref cnt incremented to:2 Total VPN Pe
crypto_isakmp_process_block:src:192.168.2.2, dest:192.168.2.1 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
crypto_isakmp_process_block:src:192.168.2.2, dest:192.168.2.1 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!

на www.cisco.com ошибка reserved not zero on payload 5! описывается как несовпадение ключей, но ключи 100% совпадают.
Где могут быть грабли?

Возможно это поможет разобраться. http://www.dlink.ru/technical/faq_vpn_4.php

_________________
С уважением, Карагезов Владислав

Да, информацию по этой ссылке я смотрел - не помогло. В подобной конфигурации этот самый PIX отлично работает у меня с Cisco1751 vpn bundle. Понимаю, что где-то что-то не так настраиваю на d-link но пока не вижу где и что.

Неужели никто не заводил сабж ?

Да уж, сделал все по faq (только вместо cisco 17xx стоит pix)- все равно не работает. Не понимаю, что же я делаю не так?
pix прекрасно работает в такой конфигурации с другими железками, типа linksys b cisco. Неужто эти две железки несовместимы? Если так, то разочарование какое-то.....

К сожалению у нас нет пикса.. а с обычной циской работает.

_________________
С уважением -- Александр Шебаронин.

Может быть вам дать на тестирование ПИКС?

В общем что вижу. К сожалению из оборудования доступного, не находящегося в работе есть на данный момент только D-Link, Cisco PIX 501, Cisco 1751VPN-K9. В точно такой же конфигурации PIX и 1751 работают (другого и не предполагалось). D-Link и 1751 тоже работают в этой конфигурации (что Вами и подтверждено). А вот D-Link и PIX ни в какую (конфигурация такая же остается, меняется только адресация). Отсюда могу сделать вывод, что либо я не так что-то делаю, либо завяленная совместимость со стандартами у оборудования D-Link отсутствует. Не со всем железо оно видимо совместимо (можно конечно предположить, что это Cisco что-то свое сделала в PIX, но вроде проблем с IPSec в PIX ранее замечено не было). Вот и думай тут....