В связи что мой DI-804HV почил в бозе было решено его заменить на виндовс ХР профи, благо такой пример описан в официальном faq по vpn. После тщательной сверки всех введенных данных канал не поднимался. Было обнаружено что нужна еще одна галочка чтобы канал заработал. А вообще я рад и удивлен что так легко удалось заменить умерший роутер. Все локальные сервисы, которые мы использовали работают в полном объеме и в этом, новом варианте.
использовано: роутер di-804hv и винХР профи. Роутер стоит на Камчатке, виндовс в Москве. Пинг 600-700мс

P.S. VPN IPSEC. виндовс находится за NAT, на сером адресе. Никакого проброса портов через NAT не требуется! канал поднимается только со стороны виндовс. (т.к. серый адрес)

Уважаемый geran2004! Будьте добры, подскажите, какая "галочка" помогла Вам поднять канал? Я с пятницы каждую ночь бьюсь в попытке поднять VPN между DI-804HV и WinXP SPII. Суппорты рекомендуют разбираться с фаерволами на XP - я снёс вообще Аутпост, полностью отключил все функции в брэндмауэре и сам брэндмауэр... результат один - идёт согласование протоколов, а пинг не проходит.

Данный пример описан в факе - 3 человека поочерёдно несколько раз перепроверяли настройки - канал не поднимается. Единственно что остаётся - сегодня отнесу DI-804HV другу у которого дома локалка на двух WinXP без SPII. Если и там не поднимется - я больше не знаю что делать...

Приму любые комментарии.

Так и знал что кому-то понадобится. А галочка такая:
Политики безапасности/своя политика/созданный фильтр скажем прямого канала- изменить/действия фильтра- выбрать требуется безопасность и нажать изменить/в последнем окне есть строка:
Сеансовые циклы безопасной пересылки (PFS)- вот тут и поставить галочку!
Все остальное согласно официальному FAQ
Уточню только что в свойствах туннеля (в длинке) нужно создавать туннель не для удаленной подсети, а уже для удаленного хоста- что выражается в замене адреса, маски на 255.255.255.255 и пинг там какой-то вставил на этот же адрес. Заводится после 4-х кратного пинга, на следующих пакетах- так что пингуйте всегда 2-3 раза.
Я кстати сомневаюсь в необходимости вообще что-то менять в пунктах
в роутере IKE Proposal. Я проверял со старыми настройками -на MD5 и тоже работало. Время жизни туннеля задается на винде-
от последнего окна где ставили галочку:
выбрать фильтр скажем 3des MD5 и нажать изменить/далее окно ИЗМЕНИТЬ МЕТОД БЕЗОПАСНОСТИ- в нем нажать ПАРАМЕТРЫ/в следующем окне-параметр-смена ключа каждые.. поставить нужное время в секундах. Проверить чтоб действие распространилось на другие составные части политики- если что, настраивать так же.

Ничего удивительного мало того - сижу и жду этого сообщения...



Блин теперь до конца работы маяться и ехать быстрее домой проверять



Здесь маленький вопросик/уточнение - под удалённым хостом имеется ввиду WinXP? Если да, то я всё правильно понял.



Блин, а этой инфы тоже нигде нету Теоретически возможно что у меня и поднимался уже VPN... хотя не думаю...



Ну ведь там же в винде указано сразу 4 варианта подборов от наиболее желательного к менее желательному. На сколько помню - тот что в роутере поумолчанию стоит там тоже есть. Но это ИМХО из серии много - не мало



Кстати и здесь есть что сказать. Я не знаю как работает реально это согласование протоколов, а так же т.к. везде в факах написано что настройки и на сервере и на клиенте совпадали - я пытался и пробовал выставлять время жизни туннеля такое же как и в факе на роутере т.е. 28800. Вопрос 1 - нужно ли чтобы данные величины равнялись? Вопрос 2 - что в Вашем понимании "Нужное время"? Как его подобрать оптимальным образом?

Спасибо за ценные ответы!

Да, именно. ведь между ней и роутером создается туннель.

Насчет пинга по 4 раза я написал с запасом. Т.е. если пользоваться окном командная строка то понадобится как минимум дважды вызывать пинг чтоб получить ответ. Может у кого и тржды будет.
В первом пакете 4 пинга- вот и и написал что ответ минимум с пятого.




Да, так и есть. в винде все настройки уже предусмотрены с запасом...

Настиройки наверное действительно желательно чтоб совпадали, но между одинаковыми устройствами. А винда вешь отвязная, сама рулит как хочет. Можно выставить время жизни 28800- тогда будет смена ключа через 8 часов.

Вопрос 1 - нужно ли чтобы данные величины равнялись

По моему не нужно. будет определяться наименьшей величиной.
Под "нужным временем" я ничего не понимаю. Это личный параметр- как вам удобнее будет.можете хоть через каждые 5 минут требовать пересогласования ключа. У меня обычно время использования сессии впн длинся около 1,5-2 часа- вот я и выставил себе 7200секунд.
Это наверное для лучшей защиты от хакеров- чтоб канал не вскрыли. Но я не думаю что справятся за 2 часа. А если есть сомнения то ставьте 10 минут. Кстати китайцы вскрыли защиту SHA-1. Все не вечно...

понятно...
буду пробовать...
о результате отпишусь...

tasselhoff

Я совсем не упомянул об одной детали связанной с серым адресом
На длинке требуется указать адрес удаленного шлюза впн. В качестве такого адреса я использую бесплатное доменное имя зарегистрированное на сайте службы динамических dns.
В строку адрес уд шлюза я вписал буквами динамический dns.
Вы про это не спрашивали, а я и не подумал, точнее забываю про этот момент- привык что он есть и работает. В этом случае строго говоря все равно нет указания точного места (белого адреса) откуда исходят мои пакеты. Но тут выручает nat, которая сохраняет следы (сессию) от моих первоначальных пакетов и динамический dns перенаправит пакеты ответа именно на белый адрес в цепочке (где-то у прова) а сам роутер прова теоретически должен используя следы открытой сессии nat (своей) переправить пакеты на мой серый комп. Практически так и происходит (в моем случае) а как будет в вашем-это вопрос.

Никто так и не отписался- значит результатов нет?
Хотелось бы знать результаты повторения опыта.

Результаты есть жалко, что отрицательные...
Вот они http://www.dlink.ru/phorum/viewtopic.php?t=9423



Как следует из приведённой выше ссылки я уже практически забил на IPSec, мне бы хотя бы PPTP настроить Что же касается шлюза хм... у меня же впн должен подняться внутри районной локальной сети... соответственно мне не добраться в данном случае до службы динамических днс... Так же мне не совсем понятно зачем искользовать днс, а не просто айпишники... К сожалению, я не являюсь специалистом и поэтому слабо представляю что мне вводить в поля, неописанные в факе, собственно по той же причине я и не мог задать подобного вопроса самостоятельно

Все верно. Для работы в пределах локальной сети вам динамические днс не понадобятся. А на ipsec забивать преждевременно ибо это лучше чем рртр. Впрочем и рртр тоже должно работать. протокол авторизации скажем chap, без шифрования. Но в таком случае пара компов которая подключается так к инету вываливается из локалки.
одно из условий не выполняется. Или рутер 704 предполагалось использовать непосредственно на вашей стороне, где комп+ модем? тогда вы вываливаетесь из локалки. чтобы было все вместе-впн+ локалка нужен ipsec.

Я понимаю. Но у меня на данный момент не поднимается вообще никакой впн.


По словам Романа (суппорта) именно chap, т.к. pap используется для авторизации Стримом и возможны глюки.


Не могу, к сожалению, отвечать своими словами, но опять же со слов Романа (как я понял) доступ в локалку идёт всем через впн сервер, т.е. через 804 роутер. Получается, что он стоит у меня. В другой квартире 704 на два компа. 704 играет роль клиента впн по pptp, соответственно удалённые два компа оказываются у меня и уже от меня они имеют возможность идти либо в районную сеть, либо в инет.

Начал Вам писать письмо.

Я в другой теме отвечал как сделать. видимо так и хотели, в основном... У вас все еще может получиться, нужно просто более кропотливо в мелочах разбираться. вот напрмер кажется не сообщили какое фирмваре в длинк 804hv?

Я в той теме сказал, что на 804 обновилась до последней, т.е. до v1.40b04 (видно на скриншотах). Но меня гораздо больше волнует ситуация с прошивкой на 704 цитирую из большой темы: "Но с DI-704P вообще прикол - изначально на нём стояла древняя HW:B3 FW:2.73, так из всех прошивок, упомянутых на ( ftp://ftp.dlink.ru/pub/Router/DI-704P/Firmware/ ) на него установилась только V2.75b3, причём до её установки все остальные прошивки ругались на инвалидный файл апдейта, а после кричали что нераспознанный запрос."

P.S. Письмо Вам отписал.

Не знаю, обнадежу кого нибуть или растрою, но у меня поднять VPN между WinXP (в роли клиента) и 804HV(в роли сервера и маршрутизатора для сети) получилось после обновления прошивки на 140b04, раньше когда стояла прошивка 1.38, ничего не получалось и с "галочками" и без "галочек", после обновления все настроилось по Факу со второго раза, галочку PFS в политике безопасности не ставил.
Тут народ пишет что маршрутизатор на этой прошивке виснет, пока не знаю, у меня работает третий день, пока стабильно.