Условия:
В офисе есть D-Link DI808/Zyxel 791, на объектах тоже самое и VPN каналы поднимаются на раз,
Хочется:
Упростить задачу на новом объекте, а именно - поднять VPN м-у D-Link DI808/Zyxel 791 и Zyxel 792, благо последний обладает вроде бы нужным функционалом.. но что то не получатся
Вопрос - пробовал ли ктото, получалось ли.. сейчас выложу конфиги и логи работы

D-Link DI808: IP xxx.xxx.xxx.xxx
VPN Settings
Tunnel Name = myvpn
Aggressive Mode = blank
Local Subnet = 192.168.0.0
Local Netmask = 255.255.255.0
Remote Subnet = 192.168.12.0
Remote Netmask = 255.255.255.0
Remote Gateway = yyy.yyy.yyy.yyy
IKE Keep Alive = blank
Preshare Key = 12345

IKE Proposal Index:
DH Group = Group 1
Encrypt algorithm = 3DES
Auth algorithm = SHA1
Life Time = 28800
Life Time Unit = Sec

IPSec Proposal index:
DH Group = Group 1
Encap protocol = ESP
Encrypt algorithm = 3DES
Auth algorithm = SHA1
Life Time = 28800
Life Time Unit = Sec
-----------------------------------------------
Zyxel 792: IP yyy.yyy.yyy.yyy настроен в Routing
IPSec Setup
Active = on
Keep Alive = blank
Name = myvpn
IPSec Key Mode = IKE
Negotiation Mode = Main
Encapsulation Mode = Tunnel
DNS Server (for IPSec VPN) = 0.0.0.0

Local
Local Address Type = Subnet
IP Address Start = 192.168.12.1
End / Subnet Mask = 255.255.255.0

Remote
Remote Address = Subnet
IP Address Start = 192.168.0.1
End / Subnet Mask = 255.255.255.0

Address Information
Local ID Type = IP
Content = blank
My IP Address = xxx.xxx.xxx.xxx
Peer ID Type = IP
Content = blank
Secure Gateway Address= yyy.yyy.yyy.yyy

VPN - IKE Advanced
Protocol = 0
Enable Replay Detection = NO
Local Start Port =0 End =0
Remote Start Port=0 End =0

Phase1
Negotiation Mode = Main
Pre-Shared Key = 12345
Encryption Algorithm = 3DES
Authentication Algorithm = SHA1
SA Life Time (Seconds) = 28800
Key Group = DH1

Phase2
Active Protocol = ESP
Encryption Algorithm = 3DES
Authentication Algorithm = SHA1
SA Life Time (Seconds) = 28800
Encapsulation = Tunnel
Perfect Forward Secrecy (PFS) = DH1

А теперь будут слайды:

D-Link log:
Thursday May 11, 2006 19:24:22 Receive IKE INFO : yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
Thursday May 11, 2006 19:24:22 Receive IKE (INFO) : delete yyy.yyy.yyy.yyy -> xxx.xxx.xxx.xxx phase 1
Thursday May 11, 2006 19:24:22 Send IKE (INFO) : delete [192.168.0.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.12.0] phase 2
Thursday May 11, 2006 19:24:22 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.12.0
Thursday May 11, 2006 19:24:22 inbound SPI = 0x0, outbound SPI = 0x0
Thursday May 11, 2006 19:24:22 Send IKE (INFO) : delete xxx.xxx.xxx.xxx -> yyy.yyy.yyy.yyy phase 1
Thursday May 11, 2006 19:24:22 IKE phase1 (ISAKMP SA) remove : xxx.xxx.xxx.xxx <-> yyy.yyy.yyy.yyy
Thursday May 11, 2006 19:24:23 Receive IKE M1(INIT) : yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
Thursday May 11, 2006 19:24:23 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group1
Thursday May 11, 2006 19:24:23 Send IKE M2(RESP) : xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy
Thursday May 11, 2006 19:24:24 Receive IKE M3(KEYINIT) : yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
Thursday May 11, 2006 19:24:24 Send IKE M4(KEYRESP) : xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy
Thursday May 11, 2006 19:24:25 Receive IKE M5(IDINIT) : yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
Thursday May 11, 2006 19:24:25 Send IKE M6(IDRESP) : xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy
Thursday May 11, 2006 19:24:25 IKE Phase1 (ISAKMP SA) established : xxx.xxx.xxx.xxx <-> yyy.yyy.yyy.yyy
Thursday May 11, 2006 19:24:25 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Thursday May 11, 2006 19:24:25 Requested routing is [192.168.12.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.0.0]
Thursday May 11, 2006 19:24:25 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group1
Thursday May 11, 2006 19:24:29 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Thursday May 11, 2006 19:24:29 Requested routing is [192.168.12.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.0.0]
Thursday May 11, 2006 19:24:29 Requested routing is [192.168.12.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.0.0]
Thursday May 11, 2006 19:24:29 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group1
Thursday May 11, 2006 19:24:37 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Thursday May 11, 2006 19:24:37 Requested routing is [192.168.12.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.0.0]
Thursday May 11, 2006 19:24:37 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group1
Thursday May 11, 2006 19:24:53 Receive IKE Q1(QINIT) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Thursday May 11, 2006 19:24:53 Requested routing is [192.168.12.0|yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx|192.168.0.0]
Thursday May 11, 2006 19:24:53 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group1


Zyxel log:
Index: Date/Time: Log:
------------------------------------------------------------
001 11 May 19:22:31 Send:[HASH][DEL]
002 11 May 19:22:32 Send Main Mode request to <xxx.xxx.xxx.xxx>
003 11 May 19:22:32 Send:[SA][VID]
004 11 May 19:22:32 Recv:[SA]
005 11 May 19:22:33 Send:[KE][NONCE]
006 11 May 19:22:33 Recv:[KE][NONCE]
007 11 May 19:22:33 Send:[ID][HASH][NOTFY:INIT_CONTACT]
008 11 May 19:22:33 Recv:[ID][HASH]
009 11 May 19:22:33 Phase 1 IKE SA process done
010 11 May 19:22:33 Start Phase 2: Quick Mode
011 11 May 19:22:34 Send:[HASH][SA][NONCE][KE][ID][ID]
012 11 May 19:22:37 !! IKE Negotiation is in process
013 11 May 19:23:02 !! IKE Packet Retransmit
014 11 May 19:23:31 Send:[HASH][DEL]
015 11 May 19:23:32 Send Main Mode request to <xxx.xxx.xxx.xxx>
016 11 May 19:23:32 Send:[SA][VID]
017 11 May 19:23:32 Recv:[SA]
018 11 May 19:23:33 Send:[KE][NONCE]
019 11 May 19:23:33 Recv:[KE][NONCE]
020 11 May 19:23:33 Send:[ID][HASH][NOTFY:INIT_CONTACT]
021 11 May 19:23:33 Recv:[ID][HASH]
022 11 May 19:23:33 Phase 1 IKE SA process done
023 11 May 19:23:33 Start Phase 2: Quick Mode
024 11 May 19:23:34 !! IKE Packet Retransmit

------------------------
как видно из логов первый этап контакта успешно случается, а вот фаза2 повторяется бесконечное количество раз, видимо концы с концами не сходятся в шифровании или еще где..
КАК ПОБЕДИТЬ!?

Понимаю конечно прошло хх лет
но у меня к тебе вопрос - Победил?
мне интересен сабж, т.е. можно ли подружить D-Link и Zyxel по IPSec'у

да, все вполне успешно работает
про рабочие настройки не спрашивай.. я в той конторе ужо не работаю, оборудование не перед глазами
а в решении помогло общение на сайте зюхеля
кажется во второй фазе группу ключей нада брать вторую

Спасибо
подумаю о приобретении D-Link'a (для себя, чтоб с корпортивкой IPSec сделать) они все такие чуть дешевле зюхелей...