Локальная сеть - IPsec (железка-ComWl) -> [Сеть оператора] <- (железка-ComWl перенаправлявшие с использованием NAT) -> IPsec (DFL860) - Локальная сеть
Если поднимать IPsec на железке ComWL со стороны DFL то все успешно работает, проблема в том, что надо подключить несколько IPsec а она этого не умеет
1. ComWl - отвратная железяка, но умеет формировать IPsec, параметры IPsec жестко заданы
Ниже приведен ЛОГ с ConWL
000 %myid = (none)
000 debug none
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "ipsec1": 10.23.51.0/24===10.110.239.130[S?C]...10.110.239.131[S?C]===10.23.251.24/29; unrouted; eroute owner: #0
000 "ipsec1": srcip=unset; dstip=unset; srcup=/etc/init.d/updown; dstup=/etc/init.d/updown;
000 "ipsec1": ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "ipsec1": policy: PSK+ENCRYPT+TUNNEL+UP; prio: 24,29; interface: ppp0; encap: esp;
000 "ipsec1": newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #173: "ipsec1":500 STATE_MAIN_I3 (sent MI3, expecting MR3); none in -1s; lastdpd=-1s(seq in:0 out:0)
000 #173: pending Phase 2 for "ipsec1" replacing #0
000

2. На другом конце такая же железяка, на ней настроен проброс пакетов на DFL860E

Собственно задача: Настроить параметры IPsec, так чтобы они были согласованны и тоннель работал?

Выполнено:
Чтение и разбор мануал, как русскую так и En варианты.
В IPsec выставил параметр поддержки NAT.
Замена прошивки для поддержки 3DES, соответственно 3DES добавлена в алгоритмы шифрования и аутентификации.
На момент написания выходит: IKE_Invalid_Payload

Не понятно с какими параметрами в DFL ассоциировать параметры ConWL( rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0)
Так же не понятно по кодировке секретной фразы ключа "pre-shared key". В мануале для DFL написано ASCII. Как можно узнать её у ComWL? Вдруг в ней несоответствие? В заголовке написано (text/html; charset=iso-8859-1). Т.е. если секретная фраза будет написана латиницей будет ли соответствие?
Как можно указать пустые идентификаторы ID?

Как пожелание и доп. вопрос: Можно ли посмотреть/отследить операции по поднятию IPsec-туннеля на DFL по каждой операции, чтоб понять на каком этапе происходит ошибка/несогласованность?
Есть ли пошаговая инструкция формирования IPsec-туннеля на основе логов пакетов получаемых со стороны вызывающего устройства и приходящих на DFL, можно ли по логу пакетов понять какие значения каких параметров надо задать? По типу. В поле, видишь, дуб. На нем найди сундук. Если их два открой самый большой. В нем утка, если нет найди и посади ее в сундук. Подожди когда она снесет яйцо. Если не хочешь ждать, вскрой утку, там яйцо .... а не так, напиши закрытыми глазами 3ad0ldaL0 и все должно работать, если нет начинай сначала и делай до посинения, смысл понимать не обязательно.

Есть в консоли утилита ikesnoop, которая покажет вам уровень IKE (т.е. phase 1)
Насколько я понимаю, rekey_margin это IKE Lifetime
Пустой ID задать нельзя, так что указывайте один из типов DFL (IP, DNS, e-mail) на ConWL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Благодарю за ответ, вчера до этого догадался (по поводу пустого ID) , странно но на двух ComWL это работает без проблем.
Похоже дело было именно в этом!

Тайминги (lifetime) проверяйте - проблема с ними проявится при падении туннеля через означенное время

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это значит по больше поставить? Не совсем понятна проблема ...

Это значит одинаковые поставить

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Благодарю за совет!

1. NAT выставлен только с одной стороны (там где FDL), соответственно, параметр отвечающий за преобразование пакетов туннеля выставлен только на этой стороне. Это правильно?
2. Есть еще один вопрос, TCP пакеты не проходят, т.е. при попытке доступа на WEB интерфейс пишет mismatching_tcp_window_scale. Хотя Ping'и проходят, Telnet тоже работает без проблем.
Date Severity Category/ID Rule Proto Src/DstIf Src/DstIP Src/DstPort Event/Action
2012-01-15
15:03:10 Warning TCP_OPT
3400019 TCP lan
IPsec_tunnel 10.23.251.29
10.23.250.6 65231
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2012-01-15
15:03:09 Warning TCP_OPT
3400019 TCP lan
IPsec_tunnel 10.23.251.29
10.23.250.6 19648
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2012-01-15
15:03:09 Warning TCP_OPT
3400019 TCP lan
IPsec_tunnel 10.23.251.29
10.23.250.6 34665
80 mismatching_tcp_window_scale
adjust
old=2 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
2012-01-15
15:03:01 Info CONN
600004 Rule_11 TCP lan
IPsec_tunnel 10.23.251.25
10.23.250.6 64958
80 conn_open_natsat
conn=open connnewsrcip=10.23.251.29 connnewsrcport=65231 connnewdestip=10.23.250.6 connnewdestport=80
2012-01-15
15:03:00 Info CONN
600004 Rule_11 TCP lan
IPsec_tunnel 10.23.251.25
10.23.250.6 64957
80 conn_open_natsat
conn=open connnewsrcip=10.23.251.29 connnewsrcport=19648 connnewdestip=10.23.250.6 connnewdestport=80
2012-01-15
15:03:00 Info CONN
600004 Rule_11 TCP lan
IPsec_tunnel 10.23.251.25
10.23.250.6 64956
80 conn_open_natsat
conn=open connnewsrcip=10.23.251.29 connnewsrcport=34665 connnewdestip=10.23.250.6 connnewdestport=80

Что-бы это значило? Как с этим бороться?

У вас написано adjust, значит пакет был исправлен и пропущен
Проверяйте файрволы/антивирусы на компьютерах

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc