Добрый день всем
у меня возникла следующая проблема:
есть удаленный офис, на шлюзе стоит MS ISA 2006 к ней подключаются по IPSec тоннелю филиалы, я настроил ВПН тоннель, коннект есть, в статусе все ок, в логах тоже все нормально, локальная сеть 192,168,116,0\255,255,255,0, удаленная сеть 192,100,0,0\255,255,255,0 но в удаленной сети пингуется только 192,100,0,2 (шлюз удаленной сети)на него я могу зайти терминально и могу через \\192,100,0,2\ просматривать содержимое ПК, с удаленной сети пинг вопще не проходит, что я зделал не правильно, может нужно что-то в маршрутизации указать, или файрволл настроить должным образом
подскажите пожалуйста, зараннее благодарен

Какая версия прошивки на Di?

прошивка Firmware Version: V1.50b08, Wed, Jun 18 2008

Приведите настройки IPSec.

Настройка VPN по IPsec
##########VPN settings###########
VPN -> Enable
Max. number tunel -> 10
Tunel name -> VPN
Method -> IKE
########VPN Settings tunel 1#########
Name -> VPN
Local snubnet -> 192.168.116.0
Local netmask -> 255.255.255.0
Remote Subnet -> 192.100.0.0
Remote netmask -> 255.255.255.0
Remote Gateway -> 85.xxx.xxx.xxx
Preshare Key -> 123456789
все остальные поля на этой вкладке не заполнены
#######Set IKE Proposal#########
IKE Proposal index -> VPN
Proposal name -> VPN
DH Group -> Group 2
Encrypt algorithm -> 3DES
Auth algorithm -> SHA1
Life Time -> 28800
Life Time Unit -> Sec
########Set IPSEC Proposal##########
IPSec Proposal Index -> VPN
Proposal Name -> VPN
DH Group -> Group2
Encap protocol -> ESP
Encrypt algorithm -> 3DES
Auth algorithm -> SHA1
Life time -> 3600
Life time Unit -> Sec

На стороне ISA все настроено аналогично(5 филиалов работают)

Попробуйте уменьшить MTU на КОМПЬЮТЕРАХ за DI

извините, но я MTU еще не сталкивался каким образом его можно уменьшить?
и еще, раньше когда я указывал шлюзом по умолчанию сервер Win2k3, который есть у нас в сети , в сетевых подключениях было только 1 подключение по локальной сети, а сейчас когда я указал шлюзом Роутер появился еще и Шлюз Интернета, это нормально?

Да нормально. Как уменьшить MTU на компьютерах можно прочитать тут ftp://ftp.dlink.ru/pub/Router/knowlegeb ... _HowTo.doc

понизил MTU до 1450, и еще пробывал до 800, результат нулевой, в чем еще могут быть проблемы

Возможно на компьютерах что то блокирует доступ, отключите антивирусы firewall убедитесь что на компьютерах стоит шлюзам DI.

файрвола, и антивируса на машине нет, шлюзом и ДНС сревером указан роутер
скажите пожалуйста, а какой тип ВПН туннеля (исходя из моих настроек, выложеных выше) у меня на данный момент применяется, мне нужен Site to Site
еще вот ниже настройки ISA сервера, на другой стороне ВПН туннеля, может гдето здесь есть загвоздка:

Local Tunnel Endpoint: 100.xxx.xxx.xxx
Remote Tunnel Endpoint: 192.168.1.2

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication Method: Pre-shared secret (1234456789)
Security Association Lifetime: 28800 seconds


IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time Rekeying: ON
Security Association Lifetime: 3600 seconds

Kbyte Rekeying: OFF

Site-to-Site Network IP Subnets:
Subnet: 192.100.0.0/255.255.255.0

Посмотрите на ISA маршруты и правила.

извините пожалуйста, что отнимал ваше время, дело таки было в правилах на ИСЕ, меня админ центрального офиса заверил что у него все нормально, но как я позже посмотрел, там меня банально не пускало во внутреннюю локалку, вот так вот.
И у меня возник один вопрос, в настройках IPSec / Phase II в MS ISA настроена смена ключей через 3600сек и 100000Кб, но как я понял в в настройках Тоннеля можно указать юниты только в секундах или в килобайтах.
Можно ли это совместить, и если да то как? Хватит ли, просто добавить еще одну строку в настройках Set IPSEC Proposal и указать значение и тип юнита?или нужно что-то еще делать?

Такой необходимости не возникало, на более старших устройствах (DFL) это возможно, данная схема будет работать так, что первое кончиться время или будет осуществлена передача заданного количества информации.