Уважаемый support,

замечена нестыковка DFL-600 с Windows (XP SP2) клиентом при подключении L2TP/IPSec. В 1 фазе ISAKMP DFL-600 получает 5 proposals:

3DES/SHA/Group14 (DH2048)
3DES/SHA/Group2
3DES/MD5/Group2
DES/SHA/Group1
DES/MD5/Group1

и выдает ответ "ATTRIBUTES-NOT-SUPPORTED". Предполагаю, из-за Group14.

Насколько представляется из логики (соответствующий RFC пока не накопал), responder должен ВЫБРАТЬ ПОХДОДЯЩИЙ из proposals, и, ОЧЕВИДНО, игнорировать неизвестный.

Убрать из запроса Group14 тоже не могу, спасибо Microsoft - после SP2 на XP он его предлагает всегда, не могу его отключить в registry.

DFL-600: HW 2A1, FW 3.00 с ftp.dlink.ru, "холодный" reset после заливки.

Тестировался ли DFL-600 в этом режиме? Что можно сделать?

Пример настройки L2TP есть у нас в FAQ http://www.dlink.ru/technical/faq_firewall_18.php

Это пример настройки как раз БЕЗ IPSec.

А проблема связана с нестыковкой по ISAKMP/IKE, который есть первая фаза IPSec.

Я не думаю, что в результате обсуждения мы решим эту проблему, надеюсь лишь на то, что об этом баге (если это баг) будет сообщено разработчикам.

Тему поднял в т.ч. и для информации прочим пользователям DFL-600, которые пытаются коннектиться ipsec от WXP.

Работу именно с IPSec мы проверим.

Ув. support, есть ли новости по теме?

Проверял и с помощью Greenbow, получается такой же ответ при переключении Key Group на DH2048 для первой фазы.

В RFC2407 сказано: "If conflicting attributes are detected, an ATTRIBUTES-NOT-SUPPORTED Notification Payload should be returned and the security association setup must be aborted".

Наличие в proposal неизвестного peer'у transform'а не должно, вроде бы, считаться конфликтующим аттрибутом.

Хотелось бы таки протестировать/подцепить DFL-600 с VPN/IPsec соединением от WXP.

насколько мне известно то, что описано в нашем FAQ -- единственная поддерживаемая конфигурация L2TP.

_________________
С уважением -- Александр Шебаронин.