Есть забавная проблема четыре файервола DFL-210,
два из них подключены через МТУ и стоят за двумя одинаковыми adsl модемами, тунель между ними работает и устанавливается, добавил третий тоже на том же провайдере, но модем другой, тунель не подымается, причем в логах про попытки вообще ничего не пишется, пришлось заменить на нем DFL-210 на 804hv, тогда тунель работает,
возникла необходимост включить четвертый офис который на провайдере NCC, adsl модем фирми Zyxel, и таже проблема, тунель IPSec не подымается, и в логах пустота. Прошил DFL-210 до последней прошивки и смог поднять GRE тунель. всё работает, всё прекрасно, но как я понимаю информация не шифруется, как разобраться почему тунель IPSec не подымается, почему в логах пусто, и почему при абсолютно одинаковых настройках, тунель между двумя роутерами работает, а на третем тишина?

Что за GRE? Имеется ввиду PPTP-туннель? Если он, то там можно включить шифрование.

В новой прошивке есть такие туннели, если не ошибаюсь то Цисковское изобретение для возможности хождения udp multicast, и на сколько я понял цисковскую стратегию его лучше поднимать в уже созданом IPSec тунеле. Вещь класная быстрая, но никак не защищенная.

А IPSec на динамических адресах разве поднимается? Или у вас статика в обоих сторон?

_________________
http://www.url2ban.com Blacklists. Только полезный трафик.

А я про динамические адреса и не писал, как бы я GRE на них поднял? статика везде, прямые адреса. Тут как бы суть вопроса в том что я представляю как настраивать и сейчас есть два DFL-210 между которыми IPSec туннель, забудем про четвертый, и есть третий на том же провайдере, с теми же условиями, с рабочим 804hv, который может поднять IPSec тунели до остальных двух 210, но стоит его поменять на 210 как, он уже даже не пытается поднять тунель, даже нет попыток соединиться, в connections пусто, в логах пусто. тишина, как будто и нет настроек.

Правила прописаны, ключ PSK один на все тунели, еще на всякий случай открыл GRE в правилах, единственно обозримое различие, там старый(3года) и отличный от остальных модем.

up

В каком режиме работают стороние модемы?

Сами понимаете из МТУ достать информацию трудно, единственно что они сказали, что модем в режиме автоматической модуляции функционирует как роутер.

А НЦЦшники сказали что их модем, работает только как преобразователь среды, тоесть шлюз указанный Dlinkу это уже адрес на их циске.

Иногда бывают проблемы с согласованием с оборудованием cisco, попробуйте жестко задать на обоих устройствах скорость на портах, и на и выставить на DFL MTU рекомендуемую провайдером. Так же попробуйте провести диагностику IPSec по этому документу http://www.mediafire.com/?7tjyngmnmzv

После ввода команды
ikesnoop -on -verbose

следующая строка
Ike snooping is active - verbose mode; snooping address *

и всё в логах как обычно тишина

вот что еще выудил

Policy Manager Statistics:
----------------------------
Active phase 1: 0
Active aggressive mode: 0
Phase 1 done: 1
Phase 1 failed: 1
Phase 2 done: 0
Phase 2 failed: 0
Active quickmode: 0
Quickmode done: 0
Quickmode failed: 0

вы слушайте именно тот SA на который поднимается тоннель, и приведите то что получите сюда.

вопрос дурацкий, а как слушать, ну пишу я команду
и все далее он опять ждет следующую, куда вывод идет?