Есть связка DI-808HV+ISA2004.
Настройка проводилась согласно рекомендациям в статье http://www.isaserver.org/articles/2004isadlink.html

Есть следующая проблема. VPN соединение устанавливается (DI-808HV в логах пишет, что все нормально), но пинги все равно не ходят. ISA в логах пишет
«ISA Server cannot locate a route to the VPN_IPSec_Brach remote site.
As a result, a connection cannot be established. To establish the IPSec site-to-site connection, you must update the routing table.»

Хотя маршрут в ISA прописан.

Перечитал кучу информации на эту тему, но не нашел решения. Может, кто сталкивался с подобной проблемой?

Заранее благодарен.

Неужели ни кто не сталкивался с подобным сообщением об ошибке?

В мониторе IP безопасности видно, что IPSec туннель устанавливается, но ISA упорно требует обновить таблицу маршрутизации. Кто знает, как это сделать, отзовитесь. Если нужна более подробная информация о моих настройках, только скажите.
Очень нужно решение проблемы, есть у кого-нибудь мысли по этому вопросу, что и где нужно подправить?
В качестве эксперимента, переставил Win2003 и ISA2004, проблема не решилась. Складывается впечатление, что нужно что-то еще откорректировать. Что и где, не разобрался. В общем, нужна помощь, HELP!!!

Всем добрый день.
Разобрался в ситуации. Решение оказалось очень простым. Сейчас постараюсь его как можно более подробно описать. Надеюсь кому-нибудь пригодиться.

Итак:

Есть две сети, которые нужно объединить по IPSec VPN:
LAN1: 192.168.0.0/24 (Центральный офис)
LAN1: 192.168.22.0/24 (Удаленный офис)
Есть сеть WAN:
WAN: 10.2.0.0/24

Роутер - Центральный офис:
Win2003SE SP1+ISA2004SE SP2
Intermal:192.168.0.1
External:10.2.0.1

Конфигурация IPSec ISA
Local Tunnel Endpoint: 10.2.0.1
Remote Tunnel Endpoint: 10.2.0.159

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication method: Pre-shared secret (****************)
Security Association lifetime: 28800 seconds

IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time rekeying: ON
Security Association lifetime: 3600 seconds
Kbyte rekeying: OFF

Remote Network 'Branch1 (IPsec)' IP Subnets:
Subnet: 192.168.22.0/255.255.255.0
...
Local Network 'Internal' IP Subnets:
Subnet: 192.168.0.0/255.255.255.0

Network Rules (Source 'Branch1 (IPsec)’ to ‘Internal’ - Route)
Firewall Policy (Allow All Traffic from ‘Branch1 (IPsec)’ to ‘Internal’ for All Users)

!!! Обязательно, нужно прописать статический маршрут, из сети центрального офиса в удаленную сеть, вида:
Интерфейс: External
Назначение: 192.168.22.0
Маска: 255.255.255.0
Шлюз: 10.2.0.159
Иначе выдается сообщение об ошибке и соответственно ничего не работает:
«ISA Server cannot locate a route to the VPN_IPSec_Brach remote site.
As a result, a connection cannot be established. To establish the IPSec site-to-site connection, you must update the routing table.»

Насколько это правильно, сложно сказать, но работает . В документации от Microsoft я не нашел такой особенности в конфигурировании ISA2004.

Роутер - Удаленный офис:
Dlink DI-808HV
Intermal:192.168.22.1
External:10.2.0.159

Tunnel Name: HQ
Local Subnet: 192.168.22.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.0.0
Remote Netmask: 255.255.255.0
Remote Gateway: 10.2.0.1
Preshare Key: ****************

IKE_Phase1 - Group2 - 3DES - SHA1 - 28800
IKE_Phase2 - Group2 - 3DES - SHA1 - 3600

IPSec_Phase1 - Group2 – ESP – 3DES - SHA1 - 28800
IPSec_Phase2 - Group2 – ESP – 3DES - SHA1 - 3600

Все работает, но есть одно НО. Отсутствует нормальная маршрутизация из удаленной сети в другие удаленные сети, отличающиеся от сети центрального офиса (192.168.0.0/24).
Т.е. из другой удаленной сети, например 192.168.254.0 сеть 192.168.22.0 пингуется, а из 192.168.22.0 сеть 192.168.254.0 нет.
На ISA соответствующие Firewall Policy прописаны.

Проблема возникает в случае применения DI-808HV(Firmware Version: V1.41) либо DFL-700(Firmware version: 1.33.00-SU1).
В качестве эксперимента пробовал связку ISA2004+ISA2004, все работает, но на ISA2004 в удаленном офисе нужно прописать статический маршрут вида:
Интерфейс: External
Назначение: 192.168.0.0
Маска: 255.255.0.0
Шлюз: 10.2.0.1
Все замечательно работает.

На D-link не удалось правильно настроить маршрутизацию.
Пробовал такой вариант:
Tunnel Name: HQ
Local Subnet: 192.168.22.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.0.0
Remote Netmask: 255.255.0.0
Remote Gateway: 10.2.0.1
На DI-808HV не поднимается IPSec туннель вообще.
На DFL-700 туннель поднимается, но маршрутизация не работает.

На DFL-700 пробовал еще такой вариант:
Tunnel Name: HQ
Local Subnet: 192.168.22.0
Local Netmask: 255.255.255.0
Remote Subnet: 192.168.0.0
Remote Netmask: 255.255.255.0
Remote Gateway: 10.2.0.1
Снимал галку с «Automatically add a route for the remote network.» и указывал маршрут вида:
Интерфейс: HQ
Назначение: 192.168.0.0
Маска: 255.255.0.0
Шлюз: 10.2.0.1
Все равно не работает .

Вот собственно следующий вопрос, как правильно настроить маршрутизацию на D-link, и возможно ли это?
Я думаю, лучше всего на него ответят сотрудники D-link.

Маршрутизация в траффика в туннель не поддерживается. Трафик будет мэтчится с local net и remotenet всё остальное не пройдет по созданной SPD

Спасибо за столь быстрый ответ.

Возник следующий вопрос. В следующих прошивках это будет исправлено?
Хотябы для DFL-700. Устройство довольно продвинутое. Стоит 300$, а такую полезную возможность как маршрутизация в туннель не поддерживает, обидно.

Попутно еще вопрос.
Какое устройство из серии DFL или DI поддерживает подобную маршрутизацию?

Я думаю, что нужно обратится к самой структуре IPSec.
Дело в том, что перед тем как отправить что либо в туннель, пакет должен быть сравнён с политиками SPD, которые создаются при поднятии туннеля. Опять таки, если пакет с ними не совпадёт он просто не попадёт в туннель по понятным причинам. Маршрутизация в туннель позможна начиная с DFL-800(210-й не знаю, у нас их пока нет), но опять таки это зависит от правил SPD, если пакет по ним проходит, то можно его направить в туннель, если нет, то пакет Drop'нется.