Доброго времени суток!
Помогите разрешить проблемму!
Есть cisco VPN client 4.0.1,
ему не удается связаться с удаленным VPN сервером,
в силу того, что в промежутке между ними расположен Firewall D-Link DFL -210.
До установки Firewal-а все работало.
Я открывал порты как было указано в инструкции для IP Sec туннеля, но тчетно.

Открыты были
Internet Key Exchange (IKE): порт User Datagram Protocol (UDP) 500
IPsec NAT-T: UDP-порт 4500
Encapsulating Security Payload (ESP): протокол Интернета (IP), порт 50
VPN_UDP (UDP) 65535

Так же прилогаю лог cisco client-а до обрыва соединения

1 15:35:47.230 03/27/07 Sev=Info/4 CM/0x63100002
Begin connection process

2 15:35:47.230 03/27/07 Sev=Info/4 CVPND/0xE3400001
Microsoft IPSec Policy Agent service stopped successfully

3 15:35:47.230 03/27/07 Sev=Info/4 CM/0x63100004
Establish secure connection using Ethernet

4 15:35:47.230 03/27/07 Sev=Info/4 CM/0x63100024
Attempt connection with server "193.58.71.242"

5 15:35:48.230 03/27/07 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 193.58.71.242.

6 15:35:48.230 03/27/07 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Nat-T), VID(Frag), VID(Unity)) to 193.58.71.242

7 15:35:48.245 03/27/07 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started

8 15:35:48.245 03/27/07 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

9 15:35:53.480 03/27/07 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!

Не совсем понятно что за порты Вы открыли. Попробуйте использовать стандартную группу из набора сервисов IPSec-suit

Поставлю вопрос по другому, какие порты открыть, что бы из сети через фаервол на циско ВПН сервер попадать. Вы мне посоветовали открыть сервис ipsec-suite но это ни к чему не привело. Обидно
Помогите. Я и пытался перенести эти правила на фаервол (Option 1 - Open UDP Port 62515
Option 2 - Open TCP Port 10000 and UDP 4500
Option 3 - Switch to IPSec over UDP (NAT/PAT)
Option 4 - Turn off the Windows XP SP 2 Firewall ) безрезультатно.

IPSec-Suit включает в себя все протоколы и порты для беспроблемной работы IPsec
Сделайте диагностику IKE сессии на DFL210, команда в консоли:
ikes -on -ver IP(клиента)
Тогда увидите все фазы установки соединения.

А можно по подробней рассказать о этой команде (ikes -on -ver) или же дать ссылку на источник где о этом можно прочитать. Просто её запуск мне ни чего не дал. Где я могу увитеть лог полученый при подключение.

подробнее в мануле или ikes -? в консоли

Там очень мало информации и в руководстве то же, нет ли более "расширеных" источников. А может быть, что моя проблема в том, что на самом firewall-e уже настроен один IPSec тунель?

я про эту функцию узнал так же как и Вы в мануале.
ikes -on -ver ИП с которого будет устанавливатся соединение.

А вы сами пробовали, подключатся cisco VPN клиентом к cisco VPN серверу, через DFL-210? Не могли бы вы попробовать ради эксперемента?

pass-throght там работает без проблем.
Есть особенности при установки соединения через NAT, но тут устройство никак не играет роли. Он либо пускает ESP либо нет

Тогда какие правила должны быть прописаны, что бы всё проходило? Можно четко отписать правила?

action: NAT
service: ipsec_suit
src_int: lan
src_net: lannet
dst_int: wan
dst_net: all-nets

Всё, так и сделано, а вот в обратну сторону открывать не требуется? Потому. как так не проходит!

Обратитесь в поддержку cisco и поинтересуйтесь если ли особенности при установки ipsec туннеля через NAT. Может нужно прописать local_id, чтобы клиент представлялся под другим ip, а не под серым.
Как вариант, настройте туннель на DFL

Причина в том, что архитектура нашей сети поменялалась лишь с перехода програмного фаервола в роли которого выступал Сервер на Linux-е. И у пользователя был то же не риальный IP