Ситуация уже обсуждалась несоклько тысяч раз, но вот такого я еще ни у кого не видел.
Модель подключения:
DI804HV(1.37) -> Zyxel_OmniLan <---> Zyxel_642R <- Linux <-Dlink804HV(1.37)

настройки идентичны, только вот отзеркаленны сети, VPN не поднимается, если их включить нос к носу, тогда поднимается.
Логи при подключении говорят следующее

3 июня 2004 г. 15:06:59 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.101.13
3 июня 2004 г. 15:06:59 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
3 июня 2004 г. 15:06:59 Send IKE M2(RESP) : 192.168.101.13 --> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:06:59 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.101.13
3 июня 2004 г. 15:06:59 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
3 июня 2004 г. 15:07:00 Send IKE M2(RESP) : 192.168.101.13 --> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:00 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.101.13
3 июня 2004 г. 15:07:00 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
3 июня 2004 г. 15:07:00 Send IKE M2(RESP) : 192.168.101.13 --> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:00 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.101.13
3 июня 2004 г. 15:07:00 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
3 июня 2004 г. 15:07:00 Send IKE M2(RESP) : 192.168.101.13 --> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:03 IKE phase1 (ISAKMP SA) remove : 192.168.101.13 <-> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:04 IKE phase1 (ISAKMP SA) remove : 192.168.101.13 <-> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:04 IKE phase1 (ISAKMP SA) remove : 192.168.101.13 <-> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:05 IKE phase1 (ISAKMP SA) remove : 192.168.101.13 <-> xxx.xxx.xxx.xxx
3 июня 2004 г. 15:07:05 IKE phase1 (ISAKMP SA) remove : 192.168.101.13 <-> xxx.xxx.xxx.xxx

при просмотре логов, после отправки IKE M2, должен прийти ответ IKE M3 и тд... но вот по какой то причине этого нету...
Спасайте помогайте...

На линухе стоит NAT, для 192.168.101.13, сейчас попробую его убрать и проверю чего получится....

Помогите кто чем могет....

По поводу работы IPSec и NAT смотрите здесь:
http://ccc.ru/magazine/depot/01_03/read.html?web.htm

_________________
С уважением, Карагезов Владислав

Проблема, так и не решена, 804, по прежнему не соеденяются...
Прошивки стоят 1.37, ниже привожу листинг логов:

это лог с одной стороны...
17 июня 2004 г. 11:41:09 Send IKE M2(RESP) : 192.168.80.3 --> xxx.xxxx.xxx.xxx
17 июня 2004 г. 11:41:09 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.80.3
17 июня 2004 г. 11:41:09 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:09 Send IKE M2(RESP) : 192.168.80.3 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:09 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.80.3
17 июня 2004 г. 11:41:09 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:09 Send IKE M2(RESP) : 192.168.80.3 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:09 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.80.3
17 июня 2004 г. 11:41:09 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:09 Send IKE M2(RESP) : 192.168.80.3 --> xxx.xxx.xxx.xxx

а это с другой стороны...
17 июня 2004 г. 11:41:36 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:36 Send IKE M2(RESP) : 192.168.50.2 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:36 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.50.2
17 июня 2004 г. 10:41:36 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:36 Send IKE M2(RESP) : 192.168.50.2 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:36 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.50.2
17 июня 2004 г. 11:41:36 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:37 Send IKE M2(RESP) : 192.168.50.2 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:37 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.50.2
17 июня 2004 г. 11:41:37 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:37 Send IKE M2(RESP) : 192.168.50.2 --> xxx.xxx.xxx.xxx
17 июня 2004 г. 11:41:37 Receive IKE M1(INIT) : xxx.xxx.xxx.xxx --> 192.168.50.2
17 июня 2004 г. 11:41:37 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
17 июня 2004 г. 11:41:37 Send IKE M2(RESP) : 192.168.50.2 --> xxx.xxx.xxx.xxx

весь парадокс, в том что, подобная схема работает, у нас уже... эти роутеры работают на прямую... а вот через DSL модемы не хочет....

спасайте.... голову уже ломать неукуда... стена уже с трещинами...

Ок, хорошо хоть работают напрямую - значит с настройками Ipsec должно быть все в порядке.
Давайте схемку с адресацией. Также неплохо у проавайдера поинтересоваться - не прикрыл ли он чего?

_________________
С уважением, Карагезов Владислав

Схема такова:

LAN(192.168.111.0/24) -> Dlink DI-804HV(192.168.80.3) -> (192.168.80.1) Zyxel 642R (x.x.x.245) -> -=INET=- -> (x.x.x.233) Zyxel OmniLan Adsl (192.168.50.1) -> (192.168.50.2) Dlink DI-804HV LAN (192.168.100.0/24)

Настройки IKE:
Group1 3DES SHA1 600sec
Настройки IPSec
Group1 ESP 3DES MD5 600sec

Провайдер точно ничего не режет...
На ADSL роутерах стоит проброс 500 порта на DLink DI-804HV.

Ну, здесь уж придется разбираться с вашими ADSL роутерами: если напрямую DI-804HV работают и провайдер ничего не режет.

_________________
С уважением, Карагезов Владислав

Вот в этом скорее всего и проблема. Избавляйтесь от NAT-а.

Проблем с NAT'ом нет, все прекрасно работает... Аналогичную схему мы себе уже настроили и все работает как часы, только вот здесь не хочет работать...
Не могли бы Вы подсказать почему доходит до второго этапа согласования открытого ключа и не идет дальше????
Причины, доводы... Хоть что нибудь...

По логам сказать трудно. Надо сниффером смотреть. Сохранить сессию tcpdump-ом, пришлите мне почтой вместе с ключом.

Ситуация изменилась несколько в лучшую сторону....
доковырял я етот д-линк, но только до следующего этапа: если пинг идет с 245 адреса, то туннель не согласовывает ключ, но если пинг начинается с 233 адреса, то туннель устанавливается.... очень странно...
но если он даже устанавливается то передача данных идет не идет по туннелю...

17:55:36.722654 IP (tos 0x0, ttl 61, id 822, offset 0, flags [none], length: 116) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
17:55:36.777156 IP (tos 0x0, ttl 64, id 1850, offset 0, flags [none], length: 112) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
17:55:36.871659 IP (tos 0x0, ttl 61, id 823, offset 0, flags [none], length: 180) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
17:55:36.872549 IP (tos 0x0, ttl 64, id 1851, offset 0, flags [none], length: 180) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
17:55:37.016179 IP (tos 0x0, ttl 61, id 824, offset 0, flags [none], length: 96) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
17:55:37.019638 IP (tos 0x0, ttl 64, id 1852, offset 0, flags [none], length: 96) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
17:55:37.116914 IP (tos 0x0, ttl 61, id 825, offset 0, flags [none], length: 296) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
17:55:37.283289 IP (tos 0x0, ttl 64, id 1853, offset 0, flags [none], length: 296) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
17:55:37.436448 IP (tos 0x0, ttl 61, id 826, offset 0, flags [none], length: 80) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]





18:05:36.591269 IP (tos 0x0, ttl 61, id 1410, offset 0, flags [none], length: 116) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
18:05:36.644840 IP (tos 0x0, ttl 64, id 1887, offset 0, flags [none], length: 112) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
18:05:36.733093 IP (tos 0x0, ttl 61, id 1411, offset 0, flags [none], length: 180) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
18:05:36.733982 IP (tos 0x0, ttl 64, id 1888, offset 0, flags [none], length: 180) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
18:05:36.879637 IP (tos 0x0, ttl 61, id 1412, offset 0, flags [none], length: 96) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
18:05:36.883067 IP (tos 0x0, ttl 64, id 1889, offset 0, flags [none], length: 96) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
18:05:36.998717 IP (tos 0x0, ttl 61, id 1413, offset 0, flags [none], length: 296) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]
18:05:37.164248 IP (tos 0x0, ttl 64, id 1890, offset 0, flags [none], length: 296) 192.168.80.3.500 > xxx.xxx.xxx.233.500: [|isakmp]
18:05:37.313275 IP (tos 0x0, ttl 61, id 1414, offset 0, flags [none], length: 80) xxx.xxx.xxx.233.500 > 192.168.80.3.500: [|isakmp]

вот этого говорит tcpdump....

голова не может сообразить в чем проблема, в длмнке... или еще в чем то.... на прямую коннект есть и передача данных идет... блин не знаю чего делать... подкиньте свежую идею хотя бы... я уже около 2-3х месяцев воюю с впном....

А вы не перепрошивали роутер? У меня похожая ситуация была после того как я перепрошил роутер, но после этого не сбросил настройки в дефаулт. Попробуйте сбросить в дефаулт, после этого настроить заново и проверить. На сайте, кстати, можно взять и прошивку поновее. ftp://ftp.dlink.ru/pub/Router/DI-804HV/Firmware/

Да перепрошивал уже и не один раз, так и сбрасывал настройки не один раз....
Уже поменял оборудование дсл, поменял один роутер 804.... и нифига... не работает

я тоже думаю что проблемма именно с НАТом!
каким образом Zyxel r пустит одного di к другому di?
или вам надо проброс портов делать, но zyxel так тонко настраиваться не может.

уважаемый alex_u2 я очень рад, что Вы считаете так про Zyxel 645r...
но хочу сказать если у Вас нет досточного опыта работы оборудования то это не значит, что оно так не работает...

Дело в том, что я работаю в фирме предоставляющей поступ в интернет по АДСЛ, у нас у самих стоит такая схема и работает, а вот клиенту захотелось у него не работает, вот я и пытаю службу поддержки которая пока ничего мне не сказала кроме того, почитай мануал...
Может лучше мне скажут как я могу посмотреть маршруты установленные в 804 длинке, чтобы понять, что я прав и правильно подумал, про неправильно поднятые маршруты внутри маршрутизатора... Если это не возможно дайте утилиту... Я уже добился стабильного коннекта, все работает но пакетики не бегают.... Для установки соединения пакетики бегают, а вот после соединения ни фига....

Господа тех поддержка спасайте... А то придется блин... Разбить об стену 804ё длинки...

если соединение установлено, но пакетики не бегают - есть вариант, что или устройство или провайдер не пропускают ESP - ip-протокол номер 50. проверьте

_________________
С уважением, Карагезов Владислав