сделал все как указано на http://www.dlink.ru/technical/faq_vpn_4.php
но что то не работает, вот логи с киски и д-линка, если не сложно прокоментируйте их, а то я не могу понять в чем загвостка
D-link:
Thursday October 06, 2005 11:20:06 Send IKE M1(INIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 11:20:06 Receive IKE M2(RESP) : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 11:20:06 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Thursday October 06, 2005 11:20:06 Send IKE M3(KEYINIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 11:20:06 Receive IKE M4(KEYRESP) : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 11:20:07 Send IKE M5(IDINIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 11:20:12 IKED re-TX : IDINIT
Thursday October 06, 2005 11:20:17 IKED re-TX : IDINIT
Thursday October 06, 2005 11:20:27 IKED re-TX : IDINIT
Thursday October 06, 2005 11:20:37 IKED re-TX : IDINIT
Thursday October 06, 2005 11:20:57 IKED re-TX : IDINIT
Thursday October 06, 2005 11:20:58 Send IKE (INFO) : delete 192.168.4.6 -> 192.168.4.5 phase 1
Thursday October 06, 2005 11:20:58 IKE phase1 (ISAKMP SA) remove : 192.168.4.6 <-> 192.168.4.5

CISCO
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing SA payload. message ID = 0

ISAKMP (0): Checking ISAKMP transform 1 against priority 15 policy
ISAKMP: encryption DES-CBC
ISAKMP: hash MD5
ISAKMP: auth pre-share
ISAKMP: default group 2
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
ISAKMP (0): atts are acceptable. Next payload is 0
ISAKMP (0): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
OAK_MM exchange
ISAKMP (0): processing KE payload. message ID = 0

ISAKMP (0): processing NONCE payload. message ID = 0

return status is IKMP_NO_ERROR
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
ISAKMP: malformed payload
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
ISAKMP: malformed payload
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
ISAKMP: malformed payload
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
ISAKMP: malformed payload
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 5!
ISAKMP: malformed payload
ISAKMP (0): deleting SA: src 192.168.4.6, dst 192.168.4.5
ISADB: reaper checking SA 0xff8a94, conn_id = 0 DELETE IT!

VPN Peer:ISAKMP: Peer Info for 192.168.4.6/500 not found - peers:0

crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: sa not found for ike msg

crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: sa not found for ike msg


Очень прошу помочь!!!!!!!!!!!!!!

Вышлите мне конфиг циски письмом. Или здесь опубликуйте. И настройки 824ого тоже. Я не далее чем неделю назад протестировал связку циски и 804 по впн, так что все должно работать.

_________________
С уважением -- Александр Шебаронин.

PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 VPN_Tunnel security4
enable password xOiKOk7KUHZ6cyFR encrypted
passwd xOiKOk7KUHZ6cyFR encrypted
hostname pixfirewall
domain-name aktauport.kz
clock timezone YEKST 5
clock summer-time YEKDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_access_in permit ip any any
access-list VPN_Tunnel_access_in permit ip any any
access-list spk_acl permit icmp 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.248
access-list spk_acl permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.248
pager lines 24
mtu outside 1000
mtu inside 1500
mtu VPN_Tunnel 1500
ip address outside 111.111.111.210 255.255.255.224
ip address inside 192.168.1.1 255.255.255.0
ip address VPN_Tunnel 192.168.4.5 255.255.255.248
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.0 inside
pdm location 192.168.4.4 255.255.255.252 VPN_Tunnel
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 111.111.111.211-111.111.111.222 netmask 255.255.255.224
global (VPN_Tunnel) 2 interface
nat (inside) 1 192.168.1.0 255.255.255.0 0 0
access-group inside_access_in in interface inside
access-group VPN_Tunnel_access_in in interface VPN_Tunnel
route outside 0.0.0.0 0.0.0.0 111.111.111.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
crypto ipsec transform-set to_spk esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 3600 kilobytes 400000
crypto map ntmk_mec 18 ipsec-isakmp
crypto map ntmk_mec 18 match address spk_acl
crypto map ntmk_mec 18 set pfs group2
crypto map ntmk_mec 18 set peer 192.168.4.6
crypto map ntmk_mec 18 set transform-set to_spk
crypto map ntmk_mec 18 set security-association lifetime seconds 28800 kilobytes 4608000
crypto map ntmk_mec interface VPN_Tunnel
isakmp enable VPN_Tunnel
isakmp key 159753 address 192.168.4.6 netmask 255.255.255.255
isakmp identity address
isakmp log 20000
isakmp policy 15 authentication pre-share
isakmp policy 15 encryption des
isakmp policy 15 hash md5
isakmp policy 15 group 2
isakmp policy 15 lifetime 7200
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
management-access inside
console timeout 5
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80


Используется DES, а не 3DES потомучто на моей циске 3DES не лицензирован.
И еще объяснение - outside подключен к интернету, inside в локалку, а VPN-Tunnel по выделеному каналу к удаленному офису.

Настройки D-Link:
Tunnel Name - Cisco
Method - IKE
VPN Settings Tunnel1
Local Subnet - 192.168.2.0
Local NetMask - 255.255.255.0
Remote Subnet - 192.168.1.0
Remote NetMask - 255.255.255.0
Remote GateWay - 192.168.4.5
IKE Keep Alive - пусто
IKE Proposal index
cisco-group2-des-MD5-86400
IPSec Proposal index
cisco-group2-ESP-des-MD5-28800

кажется по настройкам все.

Не совподал preshared key, я его поменял и теперь фаза 1 завершается удачно, но фаза 2 не идет - как мне кажется из лога

Thursday October 06, 2005 13:35:30 Send IKE M1(INIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 13:35:30 Receive IKE M2(RESP) : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:30 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Thursday October 06, 2005 13:35:30 Send IKE M3(KEYINIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 13:35:30 Receive IKE M4(KEYRESP) : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:31 Send IKE M5(IDINIT) : 192.168.4.6 --> 192.168.4.5
Thursday October 06, 2005 13:35:31 Receive IKE M6(IDRESP) : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:30 IKE Phase1 (ISAKMP SA) established : 192.168.4.5 <-> 192.168.4.6
Thursday October 06, 2005 13:35:30 Send IKE Q1(QINIT) : 192.168.2.0 --> 192.168.1.0
Thursday October 06, 2005 13:35:30 Receive IKE INFO : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:30 Receive IKE INFO : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:30 Receive IKE INFO : 192.168.4.5 --> 192.168.4.6
Thursday October 06, 2005 13:35:36 IKED re-TX : QINIT
Thursday October 06, 2005 13:35:41 IKED re-TX : QINIT
Thursday October 06, 2005 13:35:51 IKED re-TX : QINIT
Thursday October 06, 2005 13:36:01 IKED re-TX : QINIT
Thursday October 06, 2005 13:36:21 IKED re-TX : QINIT
Thursday October 06, 2005 13:36:22 Send IKE (INFO) : delete [192.168.2.0|192.168.4.6]-->[192.168.4.5|192.168.1.0] phase 2
Thursday October 06, 2005 13:36:22 IKE phase2 (IPSec SA) remove : 192.168.2.0 <-> 192.168.1.0
Thursday October 06, 2005 13:36:22 inbound SPI = 0x8000010, outbound SPI = 0x0

У вас в настройках различается время жизни фаз. Это первое, что бросается в глаза.

_________________
С уважением -- Александр Шебаронин.

Уточните пожалуйсто какое время жизни имеется ввиду? Время жизни фазы 1 и фазы 2 или время жизни фазы 1 на устройстве 1 и время жизни фазы 1 на устройстве 2?

Для установки ВПН обязательно нужно чтобы параметры туннеля были идентичны с обоих сторон. В том числе и время жизни фаз. IKE lifetime и IPSec lifitime. и все остальное тоже -- протоколы шифрования, хеширования, PSK... Если что то не получится еще раз -- присылайте содержимое логов устройства и debug crypto ipsec, debug crypto isakmp с циски.

_________________
С уважением -- Александр Шебаронин.

Уже не знаю где искать ((

вот лог с киски:

crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
OAK_QM exchange
oakley_process_quick_mode:
OAK_QM_IDLE
ISAKMP (0): processing SA payload. message ID = 27265377

ISAKMP : Checking IPSec proposal 1

ISAKMP: transform 1, ESP_DES
ISAKMP: attributes in transform:
ISAKMP: authenticator is HMAC-MD5
ISAKMP: encaps is 1
ISAKMP: group is 2
ISAKMP: SA life type in seconds
ISAKMP: SA life duration (VPI) of 0x0 0x0 0xe 0x10
ISAKMP (0): atts are acceptable.IPSEC(validate_proposal_request): proposal part
#1,
(key eng. msg.) dest= 192.168.4.5, src= 192.168.4.6,
dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x24
IPSEC(validate_transform_proposal): proxy identities not supported
IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) dest= 192.168.4.5, src= 192.168.4.6,
dest_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x24
IPSEC(validate_transform_proposal): proxy identities not supported

ISAKMP: IPSec policy invalidated proposal
ISAKMP (0): SA not acceptable!
ISAKMP (0): sending NOTIFY message 14 protocol 3
return status is IKMP_ERR_NO_RETRANS
crypto_isakmp_process_block:src:192.168.4.6, dest:192.168.4.5 spt:500 dpt:500
ISAKMP: reserved not zero on payload 8!
ISAKMP: malformed payload

нашел что запись в логе - proxy identities not supported
озночает следующее - The flow identities do not match a crypto map ACL permit statement.
а решается вот так - The address being pinged is not included in the match address access-list. Change the access-list. Use reflected access-lists on the two ends of the tunnel.

но у меня-же вроде все совподает и адреса в access-list тоже присутствуют.

HELP!!!

может кто-нибудь знает что означает reserved not zero on payload 8!
????????

в Cisco обращаться не пробовали?

_________________
С уважением, Карагезов Владислав

Ничего у вас не совпадает. Акцесс лист на туннель у вас кривой. Действительно -- консультации по циске лучше всего получать у них же, мы это делать не имеем права.

_________________
С уважением -- Александр Шебаронин.

Спасибо за указание на аксес лист, разобрался. А куда делся из вашего фака пример настройки PIX-DI-804HV? Там то и была эта ошибка с аксес листом