Динамический только один можно поднять.

THANX

У меня замечательно одновременно работают два динамических туннеля -- один на сертификатах, другой на PSK

Правильно с различной авторизацией можно, а вот на PSK два динамических нельзя.

invm
Большое спасибо, учтем сей факт.

Sergey Vasiliev
Возникла проблема следующего порядка, и снова с этой окоянной динамикой

Подсеть внутри DFL-800 *.*.33.0/24
Подсеть внутри хоста 1 *.*.2.0/24
Подсеть внутри хоста 2 *.*.4.0/24
Подсеть внутри хоста 3 *.*.5.0/24

В установках тоннеля указана опция Dynamically add route to the remote network when a tunnel is established

Состояние 1
Подключается тоннель с хоста 1, тоннель "множится" - создается динамический маршрут, пинги идут
Подключается тоннель с хоста 2, тоннель "множится" - создается динамический маршрут, пинги НЕ идут
Подключается тоннель с хоста 3, тоннель "множится" - создается динамический маршрут, пинги НЕ идут

Состояние 2
Подключается тоннель с хоста 2, тоннель "множится" - создается динамический маршрут, пинги идут
Подключается тоннель с хоста 1, тоннель "множится" - создается динамический маршрут, пинги НЕ идут
Подключается тоннель с хоста 3, тоннель "множится" - создается динамический маршрут, пинги НЕ идут

Кто первый тот пингуется, остальные в пролете...

Ставим на место DFL-800 коробушку DI-804HV - все работает, на хостах настройки теже остаются...
Куда пинать?

С чем поднимаются тоннели? попробуйте PFS и агрессивный режим.

Не работает как надо и все тут

Sergey Vasiliev
Тоннели с DI-80xHV (FW 1.5 b2), настройки IKE/IPSec выше по теме
он валит тоннели постоянно, задолбал уже
Ставим на его место DI-804HV в режиме динамик IPSec - ВСЕ РАБОТАЕТ КАК НАДО!
(только скорость ессно теряем резко)
хосты не перестраиваем вообще никак

какая религия у девайса?
-----------------------------------------------------------------

На DFL какая прошивка?

Прошивка 2.20.01.05 отсюда http://ftp.dlink.ru/pub/FireWall/DFL-80 ... e/2_20_01/
Вечером попробуем сброс на заводские настройки и оставить в работе только один WAN с одним ISP, остальные отключить.
Ну, а вообще не дело конечно это.

Значит так:
- вопрос с дропом туннелей решился ресетом на "фактори дефаулт" и прописыванием конфига заново
(что, №;%№;%, ессно мягко говоря не есть гуд)

- и появилась новая проблема... такого порядка:
несколько подключений (идущих с DI-80xHV) подрублены через АДСЛ модем,
и получают свой айп, хоть и динамический - с этими клиентами проблем НЕТ.
тунельные подсети пингаются, нормально

НО есть несколько клиентов сидящих ЗА шлюзом провайдера, вот с ними проблемы..
туннели подымаются, а пинга до подсетей НЕТ...

Если вместо ДФЛ поставить ДИ-80х, то пинг магическим образом появляется,
посему в фак "про ИПСек за шлюзом" меня носиком не тыкать.
Туннель динамически, и конечную точку выбирает сама железка.

Подозреваю что дело в маршруте.. КУДА ТЕПЕРЬ ЕГО ПНУТЬ???

На DFL настроен dynamic IPSec? На DI отключить auto-reconnet, включить nat-traversal. Что в логах на обоих сторонах?

1. Да, на DFL настроен dynamic IPSec
2.
попробуем, надеюсь заработает
3.
а ничего, за что зацепиться можно было бы..
тишина.. туннели подняты все рады.. ну или почти все

Включение "NAT Traversal" на DI-80x решило проблему пингов в туннеле

Готовим следующую порцию вопросов

Ап! (порция вопросов)

Sergey Vasiliev
В наличии есть DFL-1600.
Интерфейсы поделены на: 3 х ЛАН, 2 х ВАН, 1 х ДМЗ

Задача объединить ВАН1 и ВАН2 в один виртуальный, т.е. чтобы у них был 1 айп на двоих и _работало_
(по принципу как это можно объединить в сетевых картах в виртуалку)
Как это провернуть?

Вопрос нумбер два - Пример настроек DES-3828 для ZoneDefence?
Задолбал DFL ругаться на инвалидный айп или на коммунити,
с DFL понятны настройки, теперь интересуют на DES-3828

1. вы имеете ввиду load balansing?
2. выполняете на свиче в консоли create snmp host <ipaddr DFL> v2c private

На DFL указываете в zonedefend ip коммутатора, и SNMP Community: private, дальше настраиваете уже правила срабатывания zonedefend

P.S не забудьте добавить lan_ip в исключения, мало ли что.