Dlink DFL-210, 2.25.01.28, работает через Корбину и L2TP.

Настраиваю в соответствии с этим руководством, стр. 328 - L2TP Roaming Clients with Pre-Shared Keys.

SA для IPSec и IKE устанавливаются нормально, а вот потом почему-то не проходил авторизация L2TP соединения с именем пользователя.

В то же время сервер PPTP и сервер L2TP без IPSec работают нормально.

Лог здесь:
http://subaru.starfire.ru/l2tp_log.jpg

Более точно локализовал ошибку, добавил лог.

Смотрите на auth rule, оставьте в настройках сервера и клиента один протокол (например MSCHAPv2), в конце концов проверьте правильность пароля на клиенте.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Поставил на сервере и клиенте один и тот же протокол - CHAP, симптомы те же.

У меня подозрение, что после установки IPSec данные не проходят данные до L2TP сервера, потому что:

1. Из лога видно, что при падении L2TP туннеля имя пользователя пустое;
2. Из лога видно, что дропаются TCP и GRE.

Вы тип сервера (L2TP и PPTP) не перепутали в настройках? Откуда GRE и TCP в L2TP/IPSec? L2TP использует только UDP, который упаковывается в ESP (IPSec).

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G.
Мне это тоже показалось странным. Однако в логе оно откуда-то бралось Правда, на данный момент в логе TCP и GRE нет.

Я обнулил конфиг межсетевому экрану, вытащил из WAN корбину и воткнул ноутбук. Настроил отдельно IPSec for roaming clients и L2TP over IPSec for roaming clients. И то, и другое работает в таком виде работает - IPSec сам по себе и L2TP+IPSec с ноутбука устанавливаются.

Затем снова подключил корбину, настроил (в очередной раз) сервер L2TP с IPSec и попробовал подключиться с удаленного клиента. Ошибка такая же, как и раньше:

authentication_failed
ppp_terminated

Изменение какого-либо ключевого параметра в User Authentication Rules (например, задать конкретный Originator IP вместо all-nets) приводит к другой ошибке:
l2tp_no_userauth_rule_found
отсюда можно сделать вывод, что процесс доходит как минимум до стадии аутентификации пользователя и проверки правил аутентификации.

Если же правило аутентификации задано корректно, то ошибки в имени пользователя или пароле не играют роли - выдается та же ошибка
authentication_failed
ppp_terminated

В syslog'е тот же уровень событий, как в memlog'е. Как железке включить дебаг?

Попутно удивился, почему LAN и DMZ интерфейсы сделаны как switched, а WAN - как NIC без AudoMDI/MDIX. Пришлось дома искать коммутатор.

Натыкался на форуме Корбины, что там L2TP-сервера не работали в связке с L2TP/IPSec. Однако у меня проблем не возникало. Но серверов несколько и на каком-то могли остаться нерешенные проблемы. Мой совет - попробовать протестировать все то же самое, но в сторону Корбины поднять PPTP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Dima G.
Если подключаться к Корбине через PPTP, то входящее соединение L2TP over IPSec проходит!
Спасибо:)

Есть какие-то траблы с MTU в IPSec'е, почему-то не фрагментируются большие пакетыНо это уже другая история

Рад за Вас. А Корбине надо покапать на мозги. У них какая-то Циска, работающая брасом по L2TP для клиентов, режет IPSec на какой-то стадии. Просто были уже жалобы.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

l2tp_no_userauth_rule_found

http://www.dlink.ru/ru/faq/331/1737.html

(в старой версии все верно http://www.dlink.ru/ru/faq/85/479.html)

На новом интерфейсе была небольшая ошибка.

в настройках "Настройка правила аутентификации."

На вкладке General заполните поля так
вместо интерфейса - wan1 надо выбирать pptp_srv
и тогда будет вам счастье

Waves, извините Вы некрофил? Зачем отвечать на такие древние темы.
Кроме того, в DFL-210 никогда не будет нового интерфейса "по техническим причинам".

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Да я в курсе но мониторил форум исключительно по поиску ошибки. Когда решил ошибку, указал что и где. не более