Добрый день.
Ситуация: имеется DFL-1660 с российской прошивкой (соответственно, из алгоритмов шифрования есть только DES, хеширования - только MD5 и SHA1).
Необходимо настроить этот межсетевой экран так, чтобы с ним могли устанавливать соединение по IPSec удаленные клиенты.
---
Предыстория всей задачи такова: необходимо открыть удаленным клиентам доступ к серверу лицензий SolidWorks 2010. Первоначально хотел использовать PPTP, но выяснилось, что SolidWorks не поддерживает подобные соединения (насколько я понял из этого, дело в том, что сервер лицензий не поддерживает виртуальные адаптеры). L2TP тоже работать не захотел.
Я решил попробовать подключиться по "чистому" IPSec (вроде бы такое возможно). В качестве клиента использую ShrewSoft VPN Client (там есть возможность использовать в качестве "отправной точки" именно физический адаптер ПК).
---
Пока что все мои попытки ни к чему не привели: IPSec-соединение не устанавливается. Первый этап согласования ключей проходит нормально (в логе DFL запись "ike_sa_negotiation_completed"). А на втором этапе согласования выскакивает ошибка "ike_quickmode_failed" с причиной "No proposal chosen".
Раньше я VPN на базе IPSec не настраивал, поэтому не знаю, в чем причина - то ли в некорректных настройках, то ли в несовместимости протоколов. Мне кажется, все дело в шифровании DES, которое вроде бы не поддерживает Windows 7.
В Интернете есть советы, касающиеся параметров "AllowL2TPWeakCrypto" и "AllowPPTPWeakCrypto" - но они касаются лишь протоколов L2TP и PPTP, а не IPSec.
Еще один популярный совет - обновиться на европейскую прошивку (WW), но этого делать тоже не хочется. Железка одна, рисковать и перепрошивать ее как-то стремно.
---
В общем, вопросов у меня два:
1) Можно ли в принципе настроить "чистый" IPSec (обычно во всех руководствах почему-то приводится связка L2TP + IPSec) с удаленными устройствами (скажем, домашними ПК, которые подключены к Интернету через провайдера) так, чтобы они смогли общаться с сервером внутри корпоративной сети?
2) Был ли у кого-нибудь опыт успешной настройки VPN между ПК с Windows и DFL с российской версией прошивки? Изменялись ли при этом какие-нибудь параметры в ОС?

Если железка не ФСТЭК, вы ничем не рискуете.
Думаю, ваш SolidWorks просто не умеет (точнее имеет запрет) на неадекватное шифрование - та же ситуация есть и с Windows.
Между DFL с такими прошивками все вполне строится - вам советую сделать так же, если рядом с SolidWorks есть устройство, поддерживающее IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

"Чистый IPSEC" рассчитан в основном на постоянные туннели и не поддерживается клиентсткими Windows. DFL поддерживает L2TP+IPSec, так что проблема надумана. Често говоря, не понятно, почему у Вас не получилось с PPTP и L2TP. Если туннель терминирует DFL, то сервер просто не может видеть, какой там у Вас VPN. И от русской прошивки настоятельно рекомендую избавиться.