Прошивка на DI-808HV 1.43.
Настройка - по ФАКу.
Настройки на ИСЕ и Маршрутизаторе, касающиеся протоколов идентичны, за исключением пункта EncapProtocol на закладке IPSecProposal (ввиду отсутствия чего-то подобного на ИСЕ). Внешние адреса друг друга пингуются, внутренние - не проходят. В связи с этим несколько вопросов:
1. В какой момент должен подниматься туннель, кто его должен инициировать?
2. Надо ли ставить галки ServerMode или ClientMode в пункте Extended Authentication? Что они дают?
3. Есть ли дополнительные рекомендации по настройке именно в связке с исой?

Пинговать удалённые хосты лучше не с IPSec-шлюза (то есть не с ИС-ы и не с D-Link'а), а с внутренних хостов этих самых сетей.

_________________
Администрация форума! А зачем "втихаря" менять подписи в профиле пользователя? Не лучше ли делать что-то более полезное?

Пробовал и так и эдак - нет пингов.
Со стороны Исы -

Negotiating IP Security
Negotiating IP Security
Negotiating IP Security
Negotiating IP Security

Со стороны Dlink -

Превышен интервал ...

В логах подобная хрень:

Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b

Где
a.a.a.a - внешний IP Dlink
b.b.b.b - внешний IP ISA

В каком месте проблема? Помогите

Настройки IPSec на DI огласите и IKE Proposals/IPSec proposals

Вот мои настройки:

Tunnel Name TestTunnel
Aggressive Mode Enable
Local Subnet 192.168.40.0
Local Netmask 255.255.255.0
Remote Subnet 172.16.100.0
Remote Netmask 255.255.252.0
Remote Gateway b.b.b.b
IKE Keep Alive false
Extended Authentication false
IPSec NAT Traversal false
Auto-reconnect false

IKE Proposal Index (в списке в верхнем окне присутствует):

Group2 - 3DES - MD5 - 28800 - Sec

IPSec Proposal Index (в списке в верхнем окне присутствует):

Group2 - ESP - 3DES - MD5 - 28800 - Sec

Соответственно логи:

IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE M2(RESP) : a.a.a.a --> b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE M2(RESP) : a.a.a.a --> b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b

1. Проверьте, что PSK одинаковые
2. Попробуйте в качетве LifeTime в Ike и IPsec выставить 300.

1. Проверил, одинаковее некуда
2. Выставил 300 секунд. Перегрузил все, что можно. То же самое.
Пытаюсь пинговать компы из локальных сеток друг друга (не маршрутизаторы) ->

Send IKE M2(RESP) : a.a.a.a --> b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b
Receive IKE M1(INIT) : b.b.b.b --> a.a.a.a
Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Send IKE M2(RESP) : a.a.a.a --> b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
IKED re-TX : RESP to b.b.b.b
Send IKE (INFO) : delete a.a.a.a -> b.b.b.b phase 1
IKE phase1 (ISAKMP SA) remove : a.a.a.a <-> b.b.b.b


На странице VPN Status соединение Established, а в Active sessions - пусто.
В чем затык?
Или скажите хотя бы, что означают эти зверушки в логе...

Проблема где-то в первой фазе, причём на месте когда системы обмениваются алгоритмами.
DI принял алгоритм ENC:3DES AUTH:PSK HASH:MD5 Group:Group2 и отсылает ISA свой. Что происходит дальше, нужно смотреть на ISA