Можно ли настроить vpn соединение при следующих условиях - компьютер (192.168.250.2) -> DFL-210 (серый динамический ip) -> интернет -> DFL-900 (83.x.x.x). Если можно, то какие настройки должны быть на межсетевых экранах. Интересует, на DFL-900 в качестве Peer's Identifier что я должен указать? И соответственно на 210-м?
Версии прошивки DFL-210 - 2.12.00.44, DFL-900 - NetOS Ver2.115 (WALL) #b: Fri May 26 02:12:32 CST 2006

Можно вот так, только учтите, что динамические туннели должны распологаться в конце списка.
на 210м нужно настроить тот же aggressive mode и поменять localID

Т.е. на DFL-210 в настройках туннеля я должен сделать так: в настройках ipsec туннеля на вкладке Authentication я должен установить Local ID type: DNS, Local ID Value: test1, а на вкладке IKE Settings поставить точку Agressive?


Это на 900-м или на 210-м? Потому что на 900-м у меня после этого туннеля есть другие.

Да, всё верно
на 900м туннель должен быть в конце списка.

Этот не есть гуд. Т.к туннели будут добавляться. Как быть в таком случае?

Удалять и конфигурировать снова...
Извините, других вариантов нет.

Выставил настройки, как Вы сказали, туннель поднялся. Спасибо.


Ну чтож, будем удалять.

И уж, чтобы не начинать новую тему, помогите по той же схеме связать этот DFL-210 с другим DFL-210 с реальным ip.
Со стороны 210-го за NAT создан еще один туннель, с настройками, аналогичными настройкам для связи с 900-м, на стороне 210 с реальным ip настроен туннель, у которого в качестве Remote Endpoint выставлена сеть all-nets, Local ID type: DNS, Local ID Value: gnusmas.
Туннель не устанавливается, в логах следующие сообщения:
2007-10-30
21:27:06 Info IPSEC
01803021


ipsec_sa_statistics

rev=1 done=320 success=112 failed=208
2007-10-30
21:27:06 Warning IPSEC
01800109


ike_quickmode_failed

rev=1 local_ip=87.117.x.x remote_ip=91.144.141.x cookies=424819f0c03ed89f3721a3389c00692c reason="No proposal chosen"
2007-10-30
21:27:06 Warning IPSEC
01803020


ipsec_sa_failed
no_ipsec_sa
rev=1 statusmsg="No proposal chosen"
2007-10-30
21:27:06 Info IPSEC
01800102


ipsec_event

rev=1 message=" Remote Proxy ID 192.168.250.0/24 any"
2007-10-30
21:27:06 Info IPSEC
01800102


ipsec_event

rev=1 message=" Local Proxy ID 192.168.252.0/24 any"
2007-10-30
21:27:06 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="87.117.x.x:4500 ID gnusmas" remote_peer="91.144.141.x:4500 ID gnusmas" initiator_spi="424819f0 c03ed89f" responder_spi="
2007-10-30
21:27:06 Info IPSEC
01800102


ipsec_event

rev=1 message="IPSec SA [Responder] negotiation failed:"
2007-10-30
21:27:06 Notice IPSEC
01802300


rule_selection_failed

rev=1 info=Authentication method mismatch int_severity=6
2007-10-30
21:27:06 Info IPSEC
01803001


failed_to_select_policy_rule

rev=1
2007-10-30
21:27:06 Warning IPSEC
01800102


ipsec_event

rev=1 message=" Remote Proxy ID 192.168.250.0/24 any"
2007-10-30
21:27:06 Warning IPSEC
01800102


ipsec_event

rev=1 message=" Local Proxy ID 192.168.252.0/24 any"
2007-10-30
21:27:06 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="87.117.x.x:4500 ID gnusmas" remote_peer="91.144.141.x:4500 ID gnusmas" initiator_spi="424819f0 c03ed89f" responder_spi="
2007-10-30
21:27:06 Warning IPSEC
01800102


ipsec_event

rev=1 message="IPSec SA [Responder] negotiation failed:"
2007-10-30
21:27:06 Info IPSEC
01803024


xauth_exchange_done


Подскажите, где я ошибся?

Самое первое и важно, динамический туннель должен находиться в конце списка на DFL.
Вот пример моего DynIPSec туннеля(в DFL при создании динамических туннелей нет необходимости использовать local_id)

Ключевой момент -- aggressive mode!

Это касается только DFL-900 или вообще всей линейки файрволлов?

В каких? В DFL-210?

Вот откуда береётся немонимание друг-друга -- из-за кучи вопросов в одном посте.
речь идёт о любых устройствах с возможностью использования DynIPSec. То что я привёл реально работает для людей без выделенного IP или скрывающихся за NAT.

такая же приблизительно ситуация, DFL-1600(постоянный белый адрес),
DFL-800(динамический белый адрес), как их соединить тунелем?