F1! Не работает связка IPsec DFL-210 + DI-804HV
Настраивал все по FAQ http://www.dlink.ru/technical/faq_vpn_24.php
Соединение пытается установиться, в логах DI-804 никаких явных ошибок нет.
Вот что в логах DFL-210:

2007-06-27 17:00:14 Error IPSEC

SPD rejected conn using selectors unknown(any:0,[0..0]=)(ipv4(any:0,[0..3]=85.15.66.132)) <-> (ipv4(any:0,[0..3]=85.15.73.177))unknown(any:0,[0..0]=)

2007-06-27 17:00:14 Warning IPSEC

SPD Phase-1 policy [responder]; Can not get policy for ipv4(any:0,[0..3]=85.15.66.132) <-> ipv4(any:0,[0..3]=85.15.73.177)

Лог DI-804 пока не могу скинуть - в другом офисе он (закрыты входящие)

Настройки DI-804 идентичны примеру из FAQ
настройки DFL-210:

1. Почему Вы не используете объекты в определении Remote/Local network?
2. Почему нет RemoteEndpoint? Если туннель динамический используйте all-nets

создал объекты, установил remote point all_nets:



Вот что теперь в логе:

2007-06-27 17:32:27 Informational IPSEC

Bad logmsg: [2007-06-27 17:32:27] <6>FW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=85.15.66.132) and ipv4(any:0,[0..3]=85.15.73.177) failed; No proposal chosen.

Привидите в соотвествие методы шиврования и авторизации.
устройство не может выбрать метод шифрования. Ещё раз проверьте группы(DH) и времена жизни.

Проверил методы все как вы сказали. Все было в норме.
Проблема решилась после обновления прошивок на последние на обоих устройствах. После этого тоннель создался, только несмотря на разрешающие правила пакеты не проходят, а в логах DFL-210

2007-06-28
16:32:23 Warning RULE
06000051 Default_Access_Rule ICMP ip-mos
192.168.1.28
192.168.0.11
ruleset_drop_packet
drop

Какое правило создать?

ошибка в настройках роутинга.
Привидите таблицу маршрутизации и объекты с устройства которое пишет такую ошибку.

посмотрел таблицу. вроде все правильно...






И еще обнаружилась одна непонятная вещь... После суток работы неожиданно пропадают все входящие соединения с 210 - не работают ни ppptp, ни ipsec, ни управление через hhtp, причем внешний ip устройства извне нормально пингуется.
Из внутренней сети внутренний ip DFL-210 также пингуется, но по http зайти не получается, но интернет через pppoe работает нормально. Лечится путем выключения и включения устройства. После этого все запускается и работает как надо. По RS-232 заходить не пробовал, так что что в логах сказать не могу.
Есть ли подобные преценденты? Как это вылечить?
В принципе, меня устроит автоматический перегруз устройства по времени, только его я не нашел.
Да, прошивка последняя, Configuration: Version 50
Current Firmware Version:2.11.03

А можете дать чёткую формулировку того что у Вас в роутинг табле? Во всяком случае чего вы хотели добится. Для чего используйется в такой схеме PBR я не понимаю.

большинство правил в таблице main создано автоматом после соответственной галочки в настройке ipsec туннеля.
В сети localnet есть сервер, к которому нужно получать доступ из сетей remotenet через ipsec туннели и из любой сети через ppptp, кроме того нужен доступ из ppptp в remotenet.

PBR создал как было в каком-то примере...

Мне непонятно как в PBR затесался IPSec.
Для чего использовать маршрут по умолчанию на WAN, мне тоже не понятно если используется pppoe

все настроил, спасибо огромное! убрал ipsec из pbr, маршрут по умолчанию поставил ppoe. Пинг пошел!

что скажете о проблеме с зависанием http-управления, ppptp и ipsec?

можно ли сделать так, чтобы устройство каждый день в 8:00 утра автоматически перегружалось?

По поводу проблем с управленичем через соединения -- проблема решается.
перезагрузки по времени -- нет. Разве что через SSH

не могли бы вы подсказать, как именно?
в поиске нашел только тему с глюками с лицензией и прошивкой...

решается штаб квартирой.