Добрый день.
Помогите пожалуйста решить следующую задачу:

Центральный Офис — ЦО:
1)установлен межсетевой экран DFL-800, прошивка 2.26.00.06-12649Sep 23 2009
2)подключение к интернет по выделенной линии, провайдер выдаёт статический IP-адрес 95.172.ХХХ.ХХХ, два DNS-сервера, шлюз и маску подсети.
3)на DFL-800 в настоящее время настроен PPTP-сервер, с помощью которого через интернет подключаются удалённые пользователи к ресурсам локальной сети ЦО.

и Удалённый Офис — УО:
1)установлен межсетевой экран DFL-210, прошивка 2.26.00
2)подключение к интернет по ADSL, через ADSL-модем настроенный в режиме моста. Провайдер выдаёт статический IP-адрес 89.109.ХХХ.ХХХ, два DNS-сервера.
3)На DFL-210 подключение к интернет настраивал вручную, без использования мастера.

Необходимо настроить IPSEC-туннель между ЦО и УО. (Вообще надо будет настроить подключение 8 Удалённых Офисов к Центральному Офису. В каждом УО будут установлены DFL-210.) В данный момент пробую настроить подключение одного УО к ЦО. Самостоятельно пробовал всё настраивать по инструкции с ftp: http://ftp.dlink.ru/pub/FireWall/_rus_% ... tunnel.pdf
а также по инструкции «How_to_configure_IPSec_VPN_LAN-to-LAN_Tunnel_v1.1.pdf» с CD-ROM. На форуме решения аналогичной проблемы на нашёл.
Бьюсь несколько дней ничего не работает! Вот мои настройки:

DFL-800 в ЦО:
wan1_ip=95.172.XXX.XXX
wan1net=95.172.XXX.0/30
http://dl.dropbox.com/u/5139747/d-link_ ... resses.png

Настроен DNS-RELAY
http://dl.dropbox.com/u/5139747/d-link_ ... o_wan1.png

RemoteHosts:
fwudom-remotegw=89.109.XXX.XXX — внешний IP-адрес Удалённого Офиса
fwudom-remotenet=192.168.50.0/24 — подсеть в Удалённом Офисе
http://dl.dropbox.com/u/5139747/d-link_ ... eHosts.png

IPSEC-туннель:
name: fwudom-ipsec
Remote Network: fwudom-remotenet
Remote Endpoint: fwudom-remotegw
Encapsulation Mode: Tunnel

IKE Algorithms: High
IKE Lifetime: 28800
IPSEC Algorithms: High
IPSEC Lifetime: 3600

Pre-shared key: fwudom-psk — один и тот же на DFL-800 и DFL-210
http://dl.dropbox.com/u/5139747/d-link_ ... psec_1.png
http://dl.dropbox.com/u/5139747/d-link_ ... psec_2.png
http://dl.dropbox.com/u/5139747/d-link_ ... psec_3.png

Созданы разрешающие правила:
lan_to_fwudom-ipsec lan/lannet->fwudom-ipsec/fwudom-remotenet->all_services
fwudom-ipsec_to_lan fwudom-ipsec/fwudom-remotenet->lan/lannet->all_services
http://dl.dropbox.com/u/5139747/d-link_ ... -ipsec.png

Route&Routing tables:
http://dl.dropbox.com/u/5139747/d-link_ ... ntents.png
http://dl.dropbox.com/u/5139747/d-link_ ... s_main.png

Логи на DFL-800:
http://dl.dropbox.com/u/5139747/d-link_ ... fl-800.png
__________________________________________________________

DFL-210 в УО:
internet_ip=89.109.XXX.XXX
internetnet=89.109.XXX.0/30
http://dl.dropbox.com/u/5139747/d-link_ ... _PPPoE.JPG
http://dl.dropbox.com/u/5139747/d-link_ ... resses.JPG

Настроен DNS-RELAY и стандартные правила:
http://dl.dropbox.com/u/5139747/d-link_ ... to_wan.JPG

RemoteHosts:
fwUK-remotegw=95.172.XXX.XXX — внешний IP-адрес Ценрального Офиса
fwUK-remotenet=192.168.88.0/24 — подсеть в Центральном Офисе
http://dl.dropbox.com/u/5139747/d-link_ ... eHosts.JPG

IPSEC-туннель:
name: fwUK-ipsec
Remote Network: fwUK-remotenet
Remote Endpoint: fwUK-remotegw
Encapsulation Mode: Tunnel

IKE Algorithms: High
IKE Lifetime: 28800
IPSEC Algorithms: High
IPSEC Lifetime: 3600

Pre-shared key: fwUK-psk — один и тот же на DFL-800 и DFL-210
http://dl.dropbox.com/u/5139747/d-link_ ... UK-psk.JPG

Созданы разрешающие правила:
lan_to_fwUK-ipsec lan/lannet->fwUK-ipsec/fwUK-remotenet->all_services
fwUK-ipsec_to_lan fwUK-ipsec/fwUK-remotenet->lan/lannet->all_services
http://dl.dropbox.com/u/5139747/d-link_ ... -ipsec.JPG

Route&Routing tables:
http://dl.dropbox.com/u/5139747/d-link_ ... ntents.JPG
http://dl.dropbox.com/u/5139747/d-link_ ... s_main.JPG

Логи на DFL-210:
http://dl.dropbox.com/u/5139747/d-link_ ... 0/logs.JPG
http://dl.dropbox.com/u/5139747/d-link_ ... logs_2.JPG
http://dl.dropbox.com/u/5139747/d-link_ ... logs_3.JPG

и что интересно: пинг из подсети Удалённого Офиса (192.168.50.0/24) проходит только на один ПК (192.168.88.41) в подсети Центрального Офиса и больше ни одна машина не пингуется ни из той, ни из другой подсети.

Пожалуйста «ткните» носом — что я делаю не так!!! Уже голову «сломал», не пойму в чём дело, а время поджимает.

На первый взгляд и судя по логам, у вас все шоколадно.

Смущает наличие двух маршрутов на wan (если у вас на физ. wan нет адреса, снимите галки по автосозданию обоих маршрутов). Также, метрику для РРРоЕ соединения сделайте 100.

Далее - запускаете ping -t в удаленную сеть и смотрите Status > Connections, куда идет пакет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за ответ, завтра с утра попробую - сейчас нет возможности...
О результате отпишусь.

Добрый день!
Сделал как Вы сказали:
убрал в УО на DFL-210 галки по созданию маршрутов на wan, и изменил метрику для PPPoE на 100.
но по прежнему ничего не работает:
при пинге из ЦО (подсеть 192.168.88.0/24) компа в УО (подсеть 192.168.50.0/24) на DFL-210 в УО в Status->Connections:
http://dl.dropbox.com/u/5139747/d-link_ ... ctions.png
в Status->Logging:
http://dl.dropbox.com/u/5139747/d-link_ ... ew_log.png
отбрасываются пакеты
в Status->Routes:
http://dl.dropbox.com/u/5139747/d-link_ ... Routes.png

В ЦО на DFL-800 логи:
в Status->Logging:
http://dl.dropbox.com/u/5139747/d-link_ ... ping-1.png
http://dl.dropbox.com/u/5139747/d-link_ ... ping-2.png
а также сначала появляется:
http://dl.dropbox.com/u/5139747/d-link_ ... _log-1.png
а потом:
http://dl.dropbox.com/u/5139747/d-link_ ... ew_log.png

в Status->Routes:
http://dl.dropbox.com/u/5139747/d-link_ ... routes.png

Может я не прописал ещё какое-то разрешающее правило?

Все у вас хорошо, разве что в центральном офисе метрику для wan сделайте 100.

Если у вас НЕ проходят пинги (при этом, в статусе видно что они ходят), проверьте антивирусы/файрволы на машинах.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Антивирусы и файрволы везде отключены. Я об этом позаботился заранее.
Я извиняюсь конечно, наверное уже надоел со своими проблемами, но факт остается фактом.
Но всё же, а что означает сообщение в логах?:
2010-04-21
13:49:51 Info CONN
600002 IPsecBeforeRules UDP wan1
core 89.109.14.153
95.172.39.254 500
500 conn_close
close

и вот такое?:
http://dl.dropbox.com/u/5139747/d-link_ ... _log_1.JPG
"ruleset_drop_packet"

и ещё проконсультируйте пожалуйста, MTU чему равным надо выставлять, и надо ли вообще его трогать?

и ещё:
в настройках PPPoE интерфейса на DFL-210 я в качестве Remote Network указываю "all-nets=0.0.0.0/0" правильно ли это? Пробовал указывать "internetnet=89.109.14.0/24" подсеть провайдера из которой мне выдаётся IP но тогда не работает интернет.

Заранее спасибо!

обнаружил такую закономерность:
в ЦО (подсеть 192.168.88.0/24) есть несколько машин на которых стоит LINUX, так вот, после настройки IPSEC-туннеля из УО (подсеть 192.168.50.0/24) пинг проходит только до машин с установленным LINUX и ни одна машина с WINDOWS не пингуется...
и из ЦО в УО пинг на WINDOWS машины не проходит!!!

проблема решена - как всегда виновата невнимательность!
на клиентских машинах в разных подсетях установлен антивирус Касперского в настройках которого необходимо было добавить удалённую подсеть в качестве доверенной!

Спасибо "DANILOVAV" - за помощь и консультации при решении данной проблемы!