Добрый день! Cтолкнулся с проблемой, которую не могу решить уже больше недели..
У нас есть несколько офисов в которых стоят D'link dfl 860e ( с разными подсетями) и каждая имеет свой внешний ip.
Есть свой сервер DEBIAN в Амстердаме.
Необходимо все это дело объединить + иметь возможность подключаться к этой сети удаленно (iphone/android/windows)
Поставил на Debian softether, подключение с iphone/android/windows устанавливается (выдается IP 192.168.30.*), dfl что-то не хотят.

В логах сервера пишется:

2014-05-14 04:48:28.913 IPsec ESP Session (IPsec SA) 1 (Client: 2) A new IPsec SA (Direction: Client -> Server) is created. SPI: 0xEB80B6E2, DH Group: MODP 1024 (Group 2), Hash Algorithm: SHA-1, Cipher Algorithm: AES-CBC, Cipher Key Size: 128 bits, Lifetime: 4294967295 Kbytes or 3600 seconds
2014-05-14 04:48:28.913 IPsec ESP Session (IPsec SA) 1 (Client: 2) A new IPsec SA (Direction: Server -> Client) is created. SPI: 0x2182FFF0, DH Group: MODP 1024 (Group 2), Hash Algorithm: SHA-1, Cipher Algorithm: AES-CBC, Cipher Key Size: 128 bits, Lifetime: 4294967295 Kbytes or 3600 seconds
2014-05-14 04:48:28.953 IPsec ESP Session (IPsec SA) 1 (Client: 2)This IPsec SA is established between the server and the client.

При этом подсети друг друга не пингуют.

Спасибо!

какие прошивки на DFL?!
крайне рекомендуются WW.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Именно она и стоит.

правила разрешающие траффик есть !?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Да по 2 правила на каждом DFL

а у вас с подключенного DFL к этому серверу , пингуется сервер ?!
что то мне подсказывает что кроется все где то http://ftp.dlink.ru/pub/FireWall/Config ... ffices.doc тут

что же приходится по крупицам вытягивать инфу ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я пытаюсь их все подключить к серверу, а не только между собой.

у вас сами туннели установились !?

если сейчас не опишите сеть с сетями , скринами , настройками туннелей , я откланеюсь ......
надоело тянуть инфу , и играть в телепатов .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

3 сети с разными локальными подсетями и своими внешними ip

192.168.1.1
192.168.2.1
192.168.3.1

Везде DFL 860e которые по IPsec я подключаю к удаленному серверу (debian на котором стоит softether) 151.248.125.234

В момент подключения DFL'ок к серверу, на сервере в логе пишется

2014-05-14 08:20:48.690 IPsec ESP Session (IPsec SA) 5 (Client: : A new IPsec SA (Direction: Client -> Server) is created. SPI: 0xFA0C5725, DH Group: MODP 1024 (Group 2), Hash Algorithm: SHA-1, Cipher Algorithm: AES-CBC, Cipher Key Size: 128 bits, Lifetime: 102400000 Kbytes or 3600 seconds
2014-05-14 08:20:48.690 IPsec ESP Session (IPsec SA) 5 (Client: : A new IPsec SA (Direction: Server -> Client) is created. SPI: 0x7F311BCE, DH Group: MODP 1024 (Group 2), Hash Algorithm: SHA-1, Cipher Algorithm: AES-CBC, Cipher Key Size: 128 bits, Lifetime: 102400000 Kbytes or 3600 seconds
2014-05-14 08:20:48.730 IPsec ESP Session (IPsec SA) 5 (Client: : This IPsec SA is established between the server and the client.



В самих дфлках отображается ключ и активное соединение

Правило1:
Имя: lan_to_VPN_TEST
Action: Allow
Service: All_service
Schedule: None
Source interface: lan
Source Network: lannet
Destination Interface: VPN_SERER_IP
Destination Network: vpn_subnet

Правило2:
Имя: VPN_TEST_to_lan
Action: Allow
Service: All_service
Schedule: None
Source interface: VPN_SERER_IP
Source Network: vpn_subnet
Destination Interface: lan
Destination Network: lannet

а дальше тишина...

скрин
статус- IPsec - вывести все активные SA

с DFL который на скриншоте , что то пингуется из 30.0\24
для тестов сделать правило
NAT : ANY\all-nets any\all-nets ping-outbound

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я бы MTU на тоннелях сделал = 2000 вместо 1420
см. первый скриншот

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...