Проблема следующего характера - никак не могу поднять тунел между двумя этими устройствами, конфиг перепробовал всякий тунел не поднимается, в логах пишется следующее:

[2006-08-03 12:42:07] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=195.206.40.178 destip=80.73.82.208 ipproto=TCP ipdatalen=28 srcport=26658 destport=80 tcphdrlen=28 syn=1

195.206.40.178 - прокси провайдера

Помогите разобраться, конфиги следующий:

DFL-700

DFL-700-#1
Name tunnel
Local Net 192.168.45.0/24
PSK - Pre-Shared Key 1234567890
LAN-to-LAN tunnel
Remote Net 192.168.4.0/24
Remote Gateway IP1
Limit MTU: 1500
IKE Mode: Main mode IKE
IKE DH Group: 2 - modp 1024-bit
PFS: V Enable Perfect Forward Secrecy
PFS DH Group: 1 - modp 768-bit
NAT Traversal: On if supported and needed (NAT detected between gateways)
Keepalives: No keepalives.
IKE Proposal List
Cipher Hash Life KB Life Sec
#1: 3DES MD5 0 28800
IPsec Proposal List
#1: 3DES MD5 0 3600
......... Остальное по дефолту

Самое интересное, что DFL-100 с такими же настройками прекрасно трудится и нормально держит тунель, с 700 ничего понять не могу.

Если с такими же настройками держит, то нужно для начала удалить SA на PIX'e.
А так, можете посмотреть поиском, проблема уже обсуждалась

очень прошу помочь разобраться - уже устал танцевать с бубнами вокрук ДФЛ-700

Конфиг циски, косательно впн (в прошлом посте забыл)

access-list VPN_ALL permit ip 192.168.4.0 255.255.255.0 192.168.45.0 255.255.255.0
access-list VPN_Y permit ip 192.168.4.0 255.255.255.0 192.168.45.0 255.255.255.0
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set newset esp-3des esp-md5-hmac
crypto map mymap 70 ipsec-isakmp
crypto map mymap 70 match address VPN_Y
crypto map mymap 70 set peer ххх.ххх.ххх.ххх
crypto map mymap 70 set transform-set newset
crypto map mymap interface outside
isakmp enable outside
isakmp key 0123456789 address ххх.ххх.ххх.ххх netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 1000

На первый взгляд не совпадает
isakmp policy 10 lifetime 1000
Если немного подождете, то могу выслать конфиг PIX'а.
Который мы настраивали с клиентом... А вообще PIX уже не наша епархия =)

Конечно подожду, в любом случае хоть что-то взглянуть чтоб рыть в нужном направлениии.

Жду конфиг, заранее спасибо

Проблема решилась следующим образом:

на Циске отключается
PFS
и IKE ставится : 768-bit

соответственно тоже самое на ДФЛ

Проблема решилась следующим образом:

на Циске отключается
PFS
и IKE ставится : 768-bit

соответственно тоже самое на ДФЛ