Никак не могу решить следующую задачу: Хочется установив дома DIR-130 пробросить с него тунель в копоративную сеть, в интернет ходить при этом не через корпоративный сервер а через домашнее подключение к интернет. Дома у меня статический "белый" внешний адрес.
Как я понял соединится к корпоративной сети можно только Site-to-Site через IPSec. Однако когда я настроил VPN - IPSEC следующим образом:

================================
IPSEC setting:
Enable v
Name: main
Local Net /Mask: 192.168.192.0/24
Remote IP: Site to Site 212.17.XXX.XXX
Remote Local LAN Net /Mask: 192.168.0.0/24
Authentication: Pre-shared Key ****************
Local ID: Default
Remote ID: Default

PHase 1:

Main mode
Keep Alive / DPD: none
DH Group: 2 - modp 1024-bit
IKE Proposal List :
Cipher Hash
#1: 3DES MD5
#2: 3DES MD5
#3: 3DES MD5
#4: 3DES MD5
IKE Lifetime: 28800 Seconds

PHase 2:

Cipher Hash
#1: 3DES MD5
#2: 3DES MD5
#3: 3DES MD5
#4: 3DES MD5
IKE Lifetime: 3600 Seconds
================================

Приманил настройки и даже перезагрузил DIR-130 на внешний интерфейс ISA не упало ни одного пакета с DIR-130, ну и никакого тунеля соответственно не поднялось :о(

Подскажите где ошибка?

Мдааа, похоже такую невероятную задачу с D-Link еще никто не пешал :о)))

Ладно-ладно, разберусь и тоже никому не скажу

Вам не могут тут с ISA, только с оборудованием D-Link, вы привели настройки устройства, проблемы в них я не вижу.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Если я приобретаю оборудование (не обязательно D-Link) оно должно работать по стандартным протоколам с другим оборудованием и программным обеспечением. Если оборудование работатет только в пределах своего модельного ряда, то это нонсенс. И в идеале, если производитель данного оборудования обеспокоен проблемами своих клиентов то тестирует свое железо в работе с другими распростреннеными устройствами и ПО. В частности можно было бы выложить описание настроек при подключении к распространенным файерволам. И уж темболее служба технической поддержки не должна "посылать" человека, если он использует "экзотический" и "редковстречающийся" файервол от Microsoft! ИМХО

Согласитесь, ситуация когда корпоративная сеть центрального офиса подключена к Интернет через ISA, Linux-файервол, CISCO вполне широко распространена и я думаю, что даже намного более распространена, чем подключение через оборудование D-Link. Также, довольно распространена ситуация когда есть несколько небольших удаленных офисов которые можно подключить к центральному при помощи DIR-130 или других производства D-Link. Почему бы D-Link не озаботится описанием/инструкцией для подобных случаев?

Прошу прощения за эмоции.

А вообще ситуация следующая, DIR-130 пытается поднять тунель только в случае если идут пакеты в удаленную сеть. Но тунель все равно не поднялся. И кстати, в мониторе ISA ловятся пакеты с D-Link'а на адрес 224.0.0.2, кокой то ALL-ROUTERS.MCAST.NET.

Log type: Firewall service
Status: The policy rules do not allow the user request.
Rule: Default rule
Source: External (ВНЕШНИЙ_IP_АДРЕС_DIR130:0)
Destination: Local Host ( 224.0.0.2:0)
Protocol: Unidentified IP Traffic (IGMP:0)

Это что за адрес такой?

Ой, разобрался, это стандарный широковещательный запрос :о)))

Оно и работает, там реалихован полностью стандартный IPSec.

Кусок лога с ISA которые вы приводите говорят о том, что коутер шлёт стандартные IGMP запросы, это нормально для оборудования поддерживающего мультикаст.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

На данный момент удалось добится того, что из локальной сети D-Link пингуются компьютеры в офисной сети и на ISA поднимается сессия SecureNAT. Однако при попытке пропинговать компьютеры в сети D-Link:



Настройки D-Link следующие:



Все остальное (роме настроек WAN) по умолчанию.

На ISA я создал Remote Site Network с протоколом IP Security protokol (IPSec) tunnel mode со следующими параметрами:



Также создал Network Rule и поставил параметр Route между локальной сетью и сетью D-Link. затем добавил правило в Firewall Policy зазрешающее весь трафик между сетями.

Ну и вот, получпется, что D-Link подключается в клиентском режиме и туннельне поднимается, при попытке поднять тунель со стороны ISA ничего не выходит. Есть идеи?