Вопрос в следующем. Если удаленная сеть и точка не постоянны и будут меняться, при создании туннеля какими их укзывать? Если ставить удаленная сеть - any_nets, удаленную точку - ничего. то при сохранении тунеля обрывается вообще инет. как я понимаю маршрутизация рушится. смысл мазохизма просто. нужно обеспечить не только авторизацию при попытке подключитсья к хосту за dfl (pptp удачно работает), но и обеспечитьзашифрованный канал (а вот ipsec тунель настроить пока не удается). помогите плиз

При настройке L2TP over IPsec вы и так делаете IPsec динамическим - без указания определенного удаленного хоста. В чем проблема?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

При сохранении таких настроек вообще перестает инет работать.

IPSec

Имя: IPSec_tunnel
Локальная сеть: dmz_net (172.17.100.0/24)
Удаленная сеть: all_nets
Удаленная точка: none
Режим инкапсуляции: Tunnel

аутентификация pre-shared key
маршрутизация: Динамически добавить маршрут к удаленной сети, когда туннель установлен

Сервер L2TP

Имя: L2TP-server
Внутренний IP-адрес: l2tp_server_ip (172.17.100.100)
Туннельный протокол: L2TP
Фильтр внешнего интерфейса: wan
IP сервера: wan_ip

ip pool: pptp_l2tp_range (172.17.100.101-172.17.100.110)

Правила

from Allow IPSec_Tunnel all_nets dmz dmznet all_services
to Allow dmz dmznet IPSec_Tunnel all_nets all_services

мож туплю на очевидном? )

Я тормоз! Снял галочку одну - инет перестал пропадать)) Правда и с удаленного хоста не подключиться..

проверил и перепроверил - на дфл все верно. удаленный хост не хочет подключаться. даж до авторизации не доходит.. хост пишет, что истекло время согласования политики.. в чем может быть трабл?

А почему у вас у IPsec транспорта local net стоит dmz_net, когда должна быть - wan1_ip ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Зачем у вас в качестве удаленной сети указано all-nets? Уместнее указать нужную сеть, чем создавать доп. маршрут по умолчанию, если в нём нет нужды.

У вас не описана ваша схема, топология. Опишите или нарисуйте подробно, в чем состоит задача, какие устройства, с какими прошивками. И т.д., и т.п.

Чем подробнее опишете, тем быстрее вам помогут. А так гадать можно вечно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

RTFM c.325,328,347
Режим инкапсуляции должен быть Transport