Subj.

860й - статический IP
несколько клиентов - динамические IP совершенно разных подсетей

Пока получается так:
в разделе IPSEC заведены друг за другом (сверху вниз) описания каналов, сначала статические (точка-точка), потом один динамический с одним ключом, следом второй динамический с другим ключом. Увы, происходит соединение динамического VPN только по первой принадлежности, второй ключ никогда не цепляется. Если поменять их местами (повысить приоритет), то наоборот - второй цепляется, первый уже не увидится.

Подскажите, какой алгоритм решения у данной задачи?
Спасибо!

Если нет паранойи к требованиям шифрования то я бы задачу решал на pptp vpn .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Это я понимаю))))))))))))))))
Но всё же?

Почитайте официальное руководство (NetDefendOS User Manual). Там подробно изложены все варианты с примерами настроек. В их терминологии динамические IP называются "Roaming Clients"

а что тут . заведите себе за правило в мозгах:
IPsec крайне желательно строить на СТАТИЧНЫХ IP !

все остальное (PPTP\ L2TP\openVPN )может "постучатся" изза ната . ну и с динамических туннелей .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22
В мозг пусть заводят себе те, кому нужно решение лишь быстро заработало... А мы лёгких путей не ищем Жизнь диктует нам задачи - мы пробуем их решать. Отмечу, все по разному

alex63
Перечитал. Предлагается использовать один общий ключ (не сказано: на всех??????????) и регулировать дальше всё через XAUTH. На мой же вопрос (использование РАЗНЫХ ключей для РАЗНЫХ клиентов) - ответа не даётся.

Мало того, ситуация ещё более стала непонятной: на стр.393 Руководства (версия 2.27.01 ) написано:

Удаленная установка туннелей
Если другой межсетевой экран NetDefend или другой соответствующий сетевой продукт IPsec (также
известный как удаленная конечная точка) попытается установить IPsec VPN-туннель к локальному
межсетевому экрану, будет проверен список IPsec-туннелей, указанных в настоящее время в
настройках NetDefendOS. Если найден соответствующий туннель, этот туннель будет открыт. Далее
выполняются ассоциируемые согласования IKE и IPsec, в результате будет установлен туннель к
удаленной конечной точке.

Спрашивается: почему не проверяется следующий тунель, а тупит на первом обнаруженном?????? Оба тунеля открыты для подключения и отличаются лишь PSK.

Имеется в виду, что будет искаться туннель, в котором Remote Endpoint соответствует IP этой удаленной точки. Так как у Вас там ничего не задано, то любой IP подходит под первый туннель. Если Ваши динамические IP от разных провайдеров, попробуйте задать в Remote Endpoint целиком пулы, из которых они раздают адреса.

Да, наверное другого варианта и нет... Таким образом более старшим идёт "динамический" vpn с предогрничениями и одним ключом, а уже последний рельно динамический, с любыми адресами и другим ключом. Кривовато, конечно, реализовано, но работает коль уж такую логику заложили в ПО девайса.

Вспомогательный вопрос к знающим людям.
Всё же настроил PPTP/L2TP (по известным в Сети инструкциям). Но теперь никак не получается что-то допилить так, чтобы из внутренней сети был доступ к подключенному клиенту. Текущее правило (Allow / PPTP (all-nets) / Lan (all-nets) / all-services ) плодов не принесло. Учитывая, что от подключенного пользователя есть доступ везде, а от нас к нему нет, подразумеваю, что либо маршрутизация, либо всё же правила. Разные варианты настроек результатов тоже не дали. Видно, что-то упускаю((( Требуется хэлп!

напишите словами что делает Ваше правило . и поймете чего не хватает

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ну их там два правила, в одну и другую стороны зеркальные.



группа включает в себя гетвей и core.

смотрите что там на клиенте .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На клиенте:
1. Отключен FW
2. Настройки IP адреса - получает от 860го
3. Использование дефолтового GW на удалённой сети - отключено.
4. С клиента всё видится (вся сеть)

На клиенте то больше собственно и не настроишь ничего, так как подключение идёт стандартной виндоузовой процедурой.

А вот собственно сам тунель:

В 192.168.1.0/24 поднят PPTP сервер 192.168.1.221, подключаемому клиенту выдаётся 192.168.1.222 (пул из одного адреса).

попробуйте поставить галку про шлюз на клиенте , по ходу это опять винда марочит.
или поиграться с маршрутами на клиенте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И на ХР и на 7 одно и тоже. Но явно дело в маршрутах, только не пойму где, вроде всё правильно по таблицам... Либо я логику не понимаю при таком типе соединения.
Это с 7ки и 860го