Использую только D-Link 804HV, уже стоят 2 поднятых VPN канала, работают прикрасно. Ставлю третий с Питером..... результат...

Tuesday December 13, 2005 07:16:58 Send IKE (INFO) : delete 111.222.333.444 -> aaa.bbb.ccc.ddd phase 1
Tuesday December 13, 2005 07:16:58 IKE phase1 (ISAKMP SA) remove : 111.222.333.444 <-> aaa.bbb.ccc.ddd

Прошивки везде 1.40, адреса статичные.
что не так? Надеюсь на помощь.

аналогичная ситуация , Firmware: v1.42(Beta v1.41b08).
после перепрошивки - конфигурацию сбрасывал в "заводские установки".

_________________
__
Yury Anoshin

Аналогично, сбрасывал на default, перебивал на 1.38 и обратно, но ничего не помогло. Может что-то с МТУ? Провайдеры молчат. Инет работает на ура.

Адреса на WAN-интерфейсах публичные или частные?

может провайдер режит пакеты vpn? есть такое

а подсети в 3 местах точно разные?

_________________
Даешь связистов без брака!
AB4790-RIPE

таки да MTU. поменял на клиентских виндах MTU на 1492 , сразу же поднялись все 3-и тунеля

_________________
__
Yury Anoshin

Странно это...
Почему именно при MTU 1492 байта оно заработало? Ведь всё равно при инкапсуляции в ESP IP-пакет шифруется и упаковывается в новый IP-пакет с новым заголовком из 20 байт. В таком варианте я бы ещё понял 1500-20=1480.
Утверждать не берусь, т.к. в подробности работы ESP не вдавался, но, повторяю - странно... Это всё относилось к IPSec/ESP туннелям.

Или у Вас PPTP-туннели?

виноват , когда писал сообщение посмотрел не в реестр где прописал таки 1480 как вы пишите, а в мануал где указан был ключ реестра и значения по умолчанию рекомендуемые для различных вариантов.

_________________
__
Yury Anoshin

А... Так значит, у этих "коробочек" IPSec ещё и фрагментировать не умеет или делает это криво... Понятно...

больше похоже на криво ... и проблема то распространенная ... я часто по форумам встречаю аналогичные вопросы именно по д-линкам .... а кстати в FAQ не нашел упоминания о том что можно поиграться МТУ ...

_________________
__
Yury Anoshin

Давайте не будем делать заявлений, не подтвержденных ничем, кроме одного опыта на неизвестной сети. Предложите мне конфигурацию стенда, на котором проявятся проблемы с фрагментацией. Я ее соберу и протестирую.
PS: мною тестировалась схема работы IPSec туннеля на 804 при подключении к провайдеру через ППТП. Так вот, устройство нормально справляется с двойной фрагментацией, а именно когда пакет сначала фрагментирован ППТП-сервером, а уже внутри лежит фрагментированный же пакет ESP.

_________________
С уважением -- Александр Шебаронин.

Да, как вариант "лабораторной работы" можно запомнить, но времени нет.

как вариант :

длинк1 : lan = 10.10.10.0/28
wan = 2.0.0.1/30
длинк2 : lan = 10.10.11.0/24 wan = 2.0.0.2/30 , и маршрутизируемые через к примеру 10.10.11.2 две сети 10.11.0.0/28, 10.11.1.0/28

тунель 1 : 10.10.10.0/28=> 10.10.11.0/24
тунель 2 : 10.10.10.0/28=> 10.11.0.0/28
тунель 3 : 10.10.10.0/28=> 10.11.1.0/28

операционка например Windows 2000 prof eng со всеми сервиспаками
mtu 1500.

в тунеле : IKE Proposal index
DH Group| Encrypt algorithm |Auth algorithm |Life Time |Life Time Unit
group 2 |3des|md5|28000|sec

IPSec Proposal index
DH Group| Encap protocol| Encrypt algorithm |Auth algorithm| Life Time| Life Time Unit |
group2 |esp|3des|md5|28000|sec|

_________________
__
Yury Anoshin

Увы, но на ЛАН-интерфейсе могут быть только сетки класса C, то есть с маской 255.255.255.0. Попробуйте переиначить, благо адресов в приватных пулах хватает.

_________________
С уважением -- Александр Шебаронин.

Yury Anoshin, у Вас ошибки в условиях:
длинк1 : wan = 2.0.0.1/30
длинк2 : wan = 2.0.0.2/30
Эти 2 интерфейса в одной сети, должны быть доступны напрямую и не требуют маршрутизации.

ИМХО:
Router1 (PPTP-server): WAN 1.1.1.1/24, LAN 10.1.1.1/24, PPTP server 10.1.2.1/24

Router2 (PPTP-client): WAN 1.1.1.2/24 + PPTP (динамически будет присвоен, например, 10.1.2.2), LAN 10.2.1.1/24

IPSec-tunnel: 10.1.1.0/24 | 10.1.2.1 <-> 10.1.2.2 | 10.2.1.0/24

Alexander Shebaronin, заработает такая схема (без промежуточного PPTP-сервера) ?