НА DFL-900 стоит прошивка NetOS Ver2.008(WALL)#0 Fri, Feb 25 2005
НА DFL-600 стоит прошивка Ver 2.30


DFL-900 настроил следующим образом:

IPSec enadbled
IKE link
Active: checked
IKE Rule name: test
Local Address type: Subnet Address
IP Address: 192.168.1.0 (DFL-900 LAN1 subnet ADDRESS)
Subnet Mask: 255.255.255.0
Remote Address type: Subnet Address
IP Address: 192.168.0.0 (DFL-600 LAN1 subnet ADDRESS)
Subnet Mask: 255.255.255.0
Negotiation mode: Main
Encapsulation mode: Tunnel
Outgoing Interface: WAN1
Peer’s IP Address: Static IP 10.90.90.2 (WAN1 on DFL-600)
My Identifier: IP Address (read only)
Peer’s Identifier: IP Address (read only)
ESP Algorithm: 3DES,MD5

Pre-Shared Key: 1234567890

Advanced

Transport Layer Protocol: ANY
Enable Replay Detection: NO

Phase 1

Negotiation mode: Main (read only)
Pre Shared Key: 1234567890
Encryption Algorithm: 3DES,MD5
SA LifeTime: 28800
Key group: DH1

Phase 2
Encapsulation: Tunnel
Active protocol: ESP
Encryption Algorithm: 3DES,MD5
SA Life time: 3600 (пробовал и 28800)
Perfect Forward Secrecy (PFS): DH2




DFL-600 настроил следующим образом:

Tunnel Name
Peer Tunnel Type: Static IP address
Termination IP 10.90.90.10 (WAN1 IP on DFL-900)
DomainName: Read only
Peer ID Type Address(IPV4_Addr)
Peer ID: 10.90.90.10
Shared Key: 1234567890
IKE Mode: Main
Encapsulation: Tunnel
NAT traversal: Normal
IPSec Operation: ESP

P1 proposal

DH Group: Group 1
IKE Life Duration: 28800 seconds
IKE Encryption: 3DES
IKE Hash: MD5

P2 proposal

PFS Mode Groupp2
Encapsulation: ESP
IP Sec Life Duration: 28800
ESP transform: DES
ESP Auth: HMAC-MD5

Target Host Range
Starting Target Host: 192.168.1.1
Subnet Mask : 255.255.255.0

Все вроде правильно (по Вапим рекомендациям), а VPN стерва не работает.

На DFL-900 в логах пишет следующее

2005-11-06 10:21:29 INFO responde new phase 2 negotiation
2005-11-06 10:21:29 INFO Begin Identity Protection mode.
2005-11-06 10:21:29 ERROR Only a single transform payload is allowed during phase 1 processing.
2005-11-06 10:21:30 INFO ISAKMP-SA established 10.90.90.10:500-10.90.90.2:500
2005-11-06 10:21:30 ERROR No such file or directory
2005-11-06 10:21:31 INFO responde new phase 2 negotiation
2005-11-06 10:21:31 ERROR Failed to get sainfo.
2005-11-06 10:21:31 ERROR Failed to get sainfo.
2005-11-06 10:21:31 ERROR Failed to pre-process Packet.

Помогите пожалуйста, буду очень признателен !!!!

Судя по всему какие-то проблемы со второй фазой. Попробуйте убрать PFS. Ещё совет - перепрошейте DFL-600 прошивкой 3.39 - я её выслал

Спасибо за ответ, я уже решил проблему.
Для тех кто окажется в той же ситуации, вот решение.

Оказалось все в настройках DFL-600

Там есть такие строчки
Target Host Range
Starting Target Host: x.x.x.x в моем случае 192.168.1.1
Subnet Mask : x.x.x.x в моем случае 255.255.255.0

так вот тут надо вместо 192.168.1.1 вписать адрес сетки 192.168.1.0 и все заработало.

Остальные настройки оставил какие есть.

Все.