Было - 2 dfl600 и между ними ipsec-туннель, работающий.
В данный момент один из них заменен на dfl700 и поднять ipsec тунель между ними никак не удается.

DFL-600. прошивка 1.00.b34
WAN интерфейс смотрит в инет, LAN - в сеть 192.168.4.0 адрес 192.168.4.222
настройки:
TunnelID officeprospekt
Termination IP wan-адрес 700-го
Shared Key password
Mode Main
DH Group 1
IKE Life 28800
IKE Hash MD5
IKE Enc DES
PFS Mode Group 1
IPSec Operation ESP
IPSec Life 14400
ESP Transform 3DES
ESP Auth HMAC-MD5
Starting TArget Host 192.168.4.1
Subnet Mask 255.255.255.0

DFL-700. прошивка 1.20.00
WAN интерфейс смотрит в инет, LAN - в сеть 192.168.5.0 адрес 192.168.5.1
настройки:
VPN Tunnel Name: officeprospekt
Local Net: 192.168.5.0/24
Auth=PSK,
PSK=password
Lan-to-Lan tunnel
Remote Net 192.168.4.0/24
Remote Gateway - WAN адрес 600-го
Proxy ARP - yes, (пробовал и no)

Advanced:
Limit MTU 1424
IKE Mode : Main
IKE DH Group: 1
PFS - yes
PFS DH Group: 1
NAT Traversal Disabled (пробовал On if supported and needed, On if supported)
Keepalives: Disabled (пробовал Manual)
в IKE Proposal List на первой позиции DES MD5 0 28800
в IPSec Proposal List на первой позиции 3DES MD5 0 14400

в логе DFL-700 следующее:
2004-11-25 12:50:07 Local0.Info 192.168.5.1 EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=wan адрес 70-го) and ipv4(udp:500,[0..3]=wan адрес 600-го) failed; Attributes not supported.

В чем дело, что не так?

У вас очень старые прошивки в обоих устройствах. Сейчас очень сложно гадать что там может быть. Обновите прошивки -- если проблема останется -- будем разбираться

_________________
С уважением -- Александр Шебаронин.

Опечатался, у 600-го Starting Target Host 192.168.5.1

Опечатался, у 600-го Starting Target Host 192.168.5.1

Александр уже порекомендовал Вам обновить прошивки - особенно для DFL-600 - сейчас уже доступна 2.32. И на DFL-700 - 1.21

_________________
С уважением, Карагезов Владислав

обновил прошивки до самых свежих. тунель в принципе работает, только при инициировании его со стороны DFL-700 процесс останавливается на Phase_1 и подвисает, при обратном инициировании все в порядке.

2004-11-29 11:18:51 Local0.Info 192.168.5.1 EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=WAN адрес DFL-700) and ipv4(any:0,[0..3]=WAN адрес DFL-600) done.
2004-11-29 11:18:52 Local0.Info 192.168.5.1 EFW: IPSEC: prio=1 Phase-2 [initiator] for ipv4(udp:137,[0..3]=192.168.5.1) and ipv4(udp:137,[0..3]=192.168.4.111) failed; Aborted notification.

Это лог с 700-го в случае когда тунель инициируется с его стороны.

проблема так и не решена по сей день.
у кого нибуть есть прецендент работающего нормально тунеля ipsec DFL600 - DFL700 ?

господа сотрудники отреагируйте хоть как нибуть на тему. может я неправильно вопрос ставлю или недостаточно информации предоставил?

Уважаемый Артем!
К сожалению я не могу дать вам какой либо совет. Нужно тестировать именно ваши устройства, потому что в тестовой конфигурации я не встретил никаких проблем с утановлением туннеля как со стороны 600, так и 700.

_________________
С уважением -- Александр Шебаронин.

Можете представить настройки в которых у вас все работало?

Все тривиально: DFL-700 FW:1.22 сброшенный до завдоских установок. DFL-600 FW: 2.35 сброшенный до заводских установок. Далее настраиваю внешние интерфейсы. ЛАН у них разный, поэтому там нчего не трогаю. Настройка VPN: 3DES-MD5 для первой фазы, время жизни 28800 сек., 3DES-MD5 для второй фазы, время жизни 3600 сек. На 700ом удаляю все пропозалы по обоим фазам кроме 3DES-MD5. Естественно указываю удаленные сети (192.168.1.0 с маской 255.255.255.0 на 600ом, 192.168.0.0/24 на 700ом) и гейты. Проверка пингом -- все нормально, туннель установился.

_________________
С уважением -- Александр Шебаронин.