Всем доброе время суток!
Пытаюсь реализовать Subj, но НЕ ПОДНИМЕТСЯ L2TP!

Проверял на двух схемах:
DFL-860E(WW) с поднятым L2TP -> домашний билайн1 (L2TP, статич.IP) -> Интернет <- домашний билайн2 (L2TP, динамич.IP) - роутер <- Андроид
DFL-860E(WW) с поднятым L2TP -> домашний билайн1 (L2TP, статич.IP) -> Интернет <- билайн (GPRS или 3G - не суть, динамич.IP) <- Андроид

Дополнения:
1. Настраивал всё по инструкции от D-Link (How to setup L2TP over IPsec on the DFL for Win_Android_IOS.pdf)
2. Пробовал менять шифрование и для первой и для второй фазы (по инструкции - 3DES SHA1, пробовал и AES SHA1 - без результатно)
3. Логины/пароли/ключи совпадают
4. Где-то в этой конференции встречал фишку, что типа "nat off" нужно заменить на "On if supported and NATed" в настройках интерфеса IPSec для IKE - не помогло
5. Прошивка WW последняя
6. Телефон: использую для подключения встроенный клиент Андроида
7. Статические тунели точка-точка между двумя 860 и динамический (без L2TP) для подключения с Виндов7 через VPN-клиента работают

Что в логах (кратко):
- начинается соединение, в логах видны адреса, начальные протоколы и т.д.
- ike_sa_negotiation_completed (options="Responder, NAT-T" mode="Main Mode" auth="Pre-shared keys" encryption=aes-cbc keysize=256 hash=sha1 dhgroup=2 bits=1024 lifetime=28800)
- xauth_exchange_done (statusmsg="Authentication failed") - непонятно откуда это, если режим вообще выключен на закладке у интерфеса IPSec
- ipsec_event (message="IPsec SA [Responder] negotiation failed:")
- ike_sa_negotiation_completed, ike_sa_completed (local_peer="бла-бла-бла:4500 ID бла-бла-бла" remote_peer="бла-бла-бла:4500 ID бла-бла-бла" initiator_spi="9c1f6b66 c22006e3" responder_spi="2abff0e6 e5ac2dc8" int_severity=6)
- ipsec_sa_failed no_ipsec_sa (statusmsg="No proposal chosen") - и приехали.... здесь я его уже в приниципе не понимаю...


Прошу совета у тех, кто сталкивался с такой проблемой. Ибо несколько дней рытья и экспериментов в Сети положительный результат, к сожалению, не дали...
Наведите, пожалуйста, на мысль!

Определения сетей в правилах посмотрите - они должны содержать ВСЕ адреса. Вот здесь подробно про вашу ошибку. Как там сказано, IPsec почти как интерфейс, но не интерфейс

viewtopic.php?f=3&t=164469&p=895084&hilit=proposal#p895084

Ознакомился, проверил, вроде всё правильно (либо не вижу чего-то важного, что скорее всего)...

Но у меня другая мысль - правильно ли я интерпретирую инструкцию, применительно к своему случаю: по сути, в моём случае wan1_ip - это локальный адрес сети билайн (что-то типа 10.х.х.х). Насколько правильно "вешать" L2TP сервер именно на него? Ведь по сути 860й сам по L2TP клиенту подключается и получает внешний айпишник, КАК РАЗ на который (как я думаю) и нужно вешать этот IPSEC интерфейс?.....

Верно думаете

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Ага-ага,

Наиболее распространенная ошибка при настройке туннеля L2TP over IPSec обычно заключается в том, что значение поля Local policy в настройках VPN Connection (фаза 2) указано неверно. В данном поле нужно указать WAN IP-адрес, а не LAN-подсеть.
VPN-подключение L2TP over IPSec настраивается как туннель Peer-to-peer (точка-точка). Таким образом, в поле Local policy нужно указать объект с WAN IP-адресом.

Это про настройку интерфейса речь? Явно не про 860й.

А вообще и в общем, согласно стр.381 и далее (download/file.php?id=517), как я понимаю, телефон и 860 просто не могут согласовать алгоритмы шифрования (сейчас установлены 3DES SHA1)! Поэтому и спрашиваю: у кого ещё эта схема работает? Какие выставлены параметры?

Повторюсь, с виндов без L2TP, а точка-точка с динамическим подключением ВСЁ Ок.
Или, если уж так всё совсем отличается при L2TP, то поделитесь, пожалуйста, реально работающей инструкцией по подключению Андроида.

Одним словом, в топку этот L2TP! По всей видимости, как-то криво он реализован на Андроиде...

НЕ ПЕРЕНАСТРАИВАЯ СУЩЕСТВУЮЩИЕ НАСТРОЙКИ СВЕОГО 860го (успешно работающий уже несколько лет динамический IPSec VPN точка-точка для ремоут-девайсов), а просто установив НОРМАЛЬНОГО клиента IPSec VPN на Андроид (использовал NCP VPN Клиента), всё заработало СРАЗУ И БЕЗ ПРОБЛЕМ!