Есть две железяки (DI804HV с прошивкой 1.38 и DFL100 с прошивкой 2.29), а еще есть две точки доступа к интернету от провайдера, между которыми нужно поднять IPSec туннель.

Если связать девайсы на столе и сделать все, как написано в FAQе (кстати там другие версии прошивок) - туннель поднимается на раз два. Если разместить по местам, то эффект почти нулевой:

18.07 17:12:42 Send IKE M1(INIT) : xxx.xxx.xxx.51 --> xxx.xxx.xxx.60
18.07 17:13:34 Send IKE (INFO) : delete xxx.xxx.xxx.51 -> xxx.xxx.xxx.60 phase 1
18.07 17:13:34 IKE phase1 (ISAKMP SA) remove : xxx.xxx.xxx.51 <-> xxx.xxx.xxx.60

Это если пытаться пинговать с 804, а если с DFL, то в логах вообще ничего нет.

Одна сетка 192.168.0.0, вторая 192.168.1.0
WAN xxx.xxx.xxx.51(60) маска 255.255.255.255 шлюз xxx.xxx.xxx.128

Пинги между внешними IP ходят, интернет раздается, а с VPN - глухо как в танке.

Попытка попинать провайдера наталкивается на взаимное непонимание (я не знаю как ему объяснить что от него требуется, поскольку сам не понимаю где порылась трабла).

С какого боку можно это разрешить? Ситуевина можно сказать критическая, скоро начнут медленно и больно разрывать на части .

Если на столе работает, а на месте нет - то сбольшой долей вероятности нужно продолжатьпинать провайдера. Где копать?
500 порт UDP (для IKE) и 50 протокол IP (то бишь ESP) у провайдера должны быть разрешены.

_________________
С уважением, Карагезов Владислав

Ну вот, пообщался с провайдером, толку ноль! По его словам выходит, что ничего не фильтруется, все должно ходить прозрачно. Но связи все равно нет...

Насколько я понял из своих логов, все рвется не успев начавшись, т.е. самый первый пакет не доходит до адресата?

Тогда вопрос (только не бейте за глупость ), как можно проверить как, где и что теряется и почему. Может есть что-нибудь не очень замороченное, а то ведь DLink покупался для упрощения администрирования, а не для усложнения, а получается куча гимора и необходимость лезть в дебри...

у Вас, судя по логам, даже обмен ключами на первой фазе не получается. Может быть, что все-таки где-то что-то прикрыто. А конкретно - 500 порт UDP. Как понять? Ну, если для Вас "вклинить" в промежуток между DI-804HV и DFL-100 cybath - не очень трудные дебри - то можно так. Рекомендую Ethereal.

_________________
С уважением, Карагезов Владислав

Оказалось дебри действительно "не очень трудные", но результат превзошел все ожидания и стало совсем непонятно...

1. Если соединить девайсы проводком и поставить маску 255.255.255.240, то при инициализации VPN все пакеты ловятся нормально.

2. Если разнести девайсы по местам, оставив маску 240 и послушать за DFL100, то ловятся UDP, но ответа естественно нет.

3. Самое веселое: если установить маску как положено 255, то не ловится вообще ничего, тишина полная. И хотя этот DFL100 заявляет, что вошел в 1ю стадию, никаких пакетов он не отсылает просто принципиально.

Т.е. пока оно считает, что второе устройство находится в той же подсети, оно установить связь пробует, а как только видит, что подсети разные, просто нагло "забивает" на это дело, хотя внешне делает вид, что "процесс пошел"...

И что сие может значить?

Прослушать за DI804 технически сложнее, но можно, хотя врядли это что-то даст для полноты картины, видать ему просто не приходит ответ на запрос, поскольку DFL100 не хочет слать UDP через шлюз.

Кстати, если на место DFL100 поставить нарытый еще один 804, то канал поднимается с полпинка, как и должен (так что провайдер чист)...

Т.е. проблема однозначно в DFL100, ну и что с ним делать? Предложения типа "че мучится, раз с двумя 804 работает, пусть и пашут" не проходит...

ок, разберемся.

_________________
С уважением, Карагезов Владислав

не могли бы скинуть настройки устройств на почту? если конфиги - то с паролями, можно скриншоты. спасибо!

_________________
С уважением, Карагезов Владислав

Сегодня доступа к DFL100 к сожалению нет, завтра доберусь до него и отшлю, а пока в почте пара вопросов ...