Подскажите пожалуйста по шагам как реализовать.

Что именно интересует?
Настройка dfl-800 есть в manual'e
настройка dfl-200 есть в faq
Фака по связке двух этих устройств НЕТ

итак обьясняю ситуацию..
Нужно соединить два офиса, оба они расположенны очень далеко друг от друга, поэтому приходится удаленно все это делать (однако проблема в том, что удаленно dfl-800 c 5 прошивкой не подгружает до конца страницу настройки ipsec, но сейчас не в этом проблема, поэтому админи из локалки когда бываю в том офисе).
Есть сеть ATEL
модем (шлюз) 84.X.X.137
есть DFL-800 c двумя интерфейсами
внешний 84.X.X.140
маска 255.255.255.252
внутрений 192.168.2.1
маска 255.255.255.252

второй удаленный офис Лукойл
модем (шлюз) 82.X.X.129
DFL-800 c двумя интерфейсами
внешний 82.X.X.142
маска 255.255.255.224
внутрений 192.168.1.1
маска 255.255.255.192

пытаюсь соединить их IPSEC тунелем по вот этому факу http://www.d-link.ru/technical/faq_vpn_23.php, пока ничего не получается, в логах при попытке сделать ping 192.168.1.1, dfl-200 выдает, ошибку между шлюзом 137 и сервером 140 (aborted notification).

ВОПРОС!
1) што именно указывать шлюзом (Remote GW)? IP модема или IP назначеный мне провайдером? если я пишу IP назначеный мне провайдером то dfl выдает ошибку.
2)где можно почитать на нормальном русском языке, про VPN и какой канал лучше реализовывать ? почему IPSEC? а не L2TP? он же содержит в себе ipsec шифрование?

Вот примерные настройки ATEL
IPSec:
localnet - 192.168.2.1/30 (два адреса)
remotenet - 192.168.1.1/26 (64 адреса)
endpoint - 82.X.X.142

Настройка Lukoil
Ipsec
localnet - 192.168.1.1/26
remotenet - 192.168.2.1/30
endpoint - 82.X.X.140

PS: Попробуйте воспользоватся другим броузером, т.к. проблем с удаленной настройкой пока не было замечено.

Тоесть как я понял, удаленный шлюз, это удаленный межсетевой экран, а не мой шлюз для интеренета...
так вот теперь начинаю понимать...
а насчет броузера - скажу так - я попросил всех своих друзей на разных апи попробывать загрузить данную страничку управления, у всех была одна и таже беда, я подозреваю две вещи, либо действительно касяк в прошивке, либо провайдер (в частности лукойл-информ) блокируют какоето звено на своем прокси сервере..

Испольдуя все параметры описаные выше.. получаю следующий лог при попытке пропинговать со строны dfl-200 сеть 192.168.1.0/30

Internal Logging (entries 1--12)

[2006-10-16 17:23:09] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for ipv4(icmp:0,[0..3]=192.168.2.2) and ipv4(icmp:0,[0..3]=192.168.1.1) failed; No proposal chosen.

[2006-10-16 17:23:09] <4>EFW: IPSEC: prio=3 Authenticated notify "No proposal chosen" from 82.118.129.142:500 for protocol ESP spi[0..4]=57 f4 29 c9

[2006-10-16 17:23:08] <4>EFW: IPSEC: prio=3 Can not get QM policy for ipv4_subnet(any:0,[0..7]=192.164.2.0/30) <-> ipv4_subnet(any:0,[0..7]=192.168.1.0/24)

[2006-10-16 17:23:03] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for ipv4(icmp:0,[0..3]=192.168.2.2) and ipv4(icmp:0,[0..3]=192.168.1.1) failed; No proposal chosen.

[2006-10-16 17:23:03] <4>EFW: IPSEC: prio=3 Authenticated notify "No proposal chosen" from 82.118.129.142:500 for protocol ESP spi[0..4]=e3 4e d5 f4

[2006-10-16 17:22:58] <4>EFW: IPSEC: prio=3 Can not get QM policy for ipv4_subnet(any:0,[0..7]=192.164.2.0/30) <-> ipv4_subnet(any:0,[0..7]=192.168.1.0/24)

[2006-10-16 17:22:58] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for ipv4(icmp:0,[0..3]=192.168.2.2) and ipv4(icmp:0,[0..3]=192.168.1.1) failed; No proposal chosen.

[2006-10-16 17:22:58] <4>EFW: IPSEC: prio=3 Authenticated notify "No proposal chosen" from 82.118.129.142:500 for protocol ESP spi[0..4]=55 b6 9a 95

[2006-10-16 17:22:54] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for ipv4(icmp:0,[0..3]=192.168.2.2) and ipv4(icmp:0,[0..3]=192.168.1.1) failed; No proposal chosen.

[2006-10-16 17:22:54] <4>EFW: IPSEC: prio=3 Authenticated notify "No proposal chosen" from 82.118.129.142:500 for protocol ESP spi[0..4]=1b 6e 0e 9b

[2006-10-16 17:22:49] <4>EFW: IPSEC: prio=3 Can not get QM policy for ipv4_subnet(any:0,[0..7]=192.164.2.0/30) <-> ipv4_subnet(any:0,[0..7]=192.168.1.0/24)

перевожу с англ. - "не назначены пропосалы".
т.е их надо назначить.

Не совпадает список параметров подключения в частности это метроди шифрования и хеширования. Привидите их в соотвествие, они должны совпадать на обоих устройствах

Проблема досих пор не решена - все дело в том что в каждой статье сказано по чуть чуть о IKE Proposal, никто например не обьясняет какой из методов должен быть первым? как выбрать напремер первый?
ситуация такая
dfl800
High 3DES, AES, Blowfish, MD5, SHA1

dfl200
будет настроена также,

но изза разницы в графическом отображении этих опции, так и е понятно, какой изних первый? ладно в dfl200, есть порядковый номер, а вот в 800 модели просто ставиш галочки и все, и какой из них первый?
тоже самое с MD5, SHA1 - получается мне на dfl200 нужно выбрать и тот и другой для всех методов? или достаточно будет только одного?

вообщем - скажу так - недостаток русской документации скаждым разом усугубляет ситуацию, а то что написано в англ, полный бред

ПС Завтра притащу из филиала 200 и попробую законектить их, а то так устану ездить из одного офиса в другой

Настройка сводится к элементарному, если создать по одной единственной записи в 200м и 800м. Чтобы устройство не устраивали переговоры, нужно дать им единственный метод. В 200-м нужно соотвественно оставить 1, остальные выставить в "-"

Итак пингую сеть со стороны DFL800

в логах получаю следующее:
В DFL800

2006-10-20 18:07:42 Notice DROP Default_Rule UDP DFL-200 192.168.2.3
192.168.1.1 1027
53 action=drop ipdatalen=61 udptotlen=61
2006-10-20 18:07:38 Notice DROP Default_Rule UDP DFL-200 192.168.2.3
192.168.1.1 1027
53 action=drop ipdatalen=61 udptotlen=61
2006-10-20 18:07:36 Notice DROP Default_Rule UDP DFL-200 192.168.2.3
192.168.1.1 1027
53 action=drop ipdatalen=61 udptotlen=61
2006-10-20 18:07:35 Notice DROP Default_Rule UDP DFL-200 192.168.2.3
192.168.1.1 1027
53 action=drop ipdatalen=61 udptotlen=61
2006-10-20 18:07:35 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=10
2006-10-20 18:07:34 Notice DROP Default_Rule UDP DFL-200 192.168.2.3
192.168.1.1 1027
53 action=drop ipdatalen=61 udptotlen=61
2006-10-20 18:07:34 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=9
2006-10-20 18:07:33 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=8
2006-10-20 18:07:32 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=7
2006-10-20 18:07:31 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=6
2006-10-20 18:07:30 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=5
2006-10-20 18:07:29 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=4
2006-10-20 18:07:28 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=3
2006-10-20 18:07:27 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=2
2006-10-20 18:07:26 Notice DROP Default_Rule ICMP lan 192.168.1.6
192.168.2.1
action=drop ipdatalen=64 icmptype=ECHO_REQUEST echoid=65304 echoseq=1

В DFL200

[2006-10-20 19:08:02] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=84.254.202.170 destip=84.254.207.140 ipproto=TCP ipdatalen=44 srcport=2668 destport=445 tcphdrlen=44 syn=1

[2006-10-20 19:07:59] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=84.254.202.170 destip=84.254.207.140 ipproto=TCP ipdatalen=44 srcport=2668 destport=445 tcphdrlen=44 syn=1

[2006-10-20 19:07:56] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=84.254.10.218 destip=84.254.207.140 ipproto=TCP ipdatalen=28 srcport=2928 destport=445 tcphdrlen=28 syn=1

[2006-10-20 19:07:53] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=WAN srcip=84.254.10.218 destip=84.254.207.140 ipproto=TCP ipdatalen=28 srcport=2928 destport=445 tcphdrlen=28 syn=1

Правило говорит о том, что не создано правило в IPRules, которое разрешилобы трафику с локальной сети отправлятся в туннель.
Если на DFl-200 таких правило создавать было не нужно(была галка ALLOW ALL VPN) то на этом устройстве нужно создавать правило ДЛЯ ЛЮБОГО направления. Даже если вы с DMZ хотите обратится к LAN_IP

Я это понял после прочтения вашей доки выложеной на ftp, [url]http://ftp.dlink.ru/pub/FireWall/_rus_%20Virtual%20private%20network%20using%20an%20IPsec%20lan-to-lan%20tunnel.pdf[/url]
Настроил по аналогии правила и сетка поднялась.

Но на этом мои проблемы не кончались, конечно понятно, что все мои проблемы связаны с ужастным планированием плохим пониманием ситуции так как все это делаю впервые, но всетаки...

Итак обьясняю ситуацию: был офис, в нем стоял контроллер домена(винда) и прокс19и (линукс, сквид с двумя картами), при этом сеть имела вид 192.168.0.0/26.
На текущий момент офис разьехался на два офиса, и получилось, что в одном находится контроллер домена, сеть 192.168.0.0/26 и там все прекрасно работает, а во втором стоит dfl200 и по dhcp раздает адреса вида 192.168.2.0/28, приэтом имется канал до первого офиса и поднят vpn 192.168.2.0/28 - 192.168.1.0/24.
опишу сеть на текущий момент..

192.168.0.0/26 <-> server1(linux,squid, eth0 (192.168.0.1) eth1 (192.168.1.2)) <-> DFL800 (LAN 192.168.1.0/24 WAN1 82.118.X.X) <->INTERNET <->DFL200 (WAN 84.254.X.X LAN 192.168.2.0/28)

ВНИМАНИЕ! вопрос - как сделать так, чтобы из сети 192.168.2.0/28 люди видели котроллер домена и могли пользоватся ресурсами сети так же как сеть 192.168.0.0/26?

Вариант ответа от себя:
1) воспользоватся зоной dmz для server1, но тогда существует опасность доступа из сети в интерент минуя шлюз server1.
2) сделать проброс определенных портов при помощи iptables, тогда все будет работать неахти как да и тоже защита минимальная. (на текущий момент сеть 192.168.2.0 ходит таким образом на терминал сервер)

Контроллер домена это отдельная песня... Если честно я с ними ниразу не общался. Если позвоните и объясните, то дам пару советов.

При звонке к вам еще раз осознал какие ужасные опраторы связи нас обслуживают, я кое как распозновал ваши слова.