с одной стороны стоит DFL-700 (1.33) со статическим ip адресом от роснета

с другой через adsl модем в режиме bridge подключен DI-824VUP+ (1.05). у него каждый раз реальный, но динамический ip.
провайдер СТРИМ.
wan интерфейс dlink настроен как dynamic ppoe. забиты имена пароли, сам он отлично дозванивается.

но как то не залаживается поднятие тоннеля между устройствами.

до этого сталкивался только с поднятием тоннеля между двумя статическики прямыми ip. на обоих указывал эти статические ip WAN противоположной стороны, настраивал одинаково параметры ipsec и все.
это работало и на adsl от МТУ с прямым ip и на static ip через модем ppoe

а тут в этом стриме, адрес все время меняется
и не понятно что указывать ip адресов второй стороны
и даже если я забиваю в настройки на DFL-700 в Remote Gateway: тот адрес, который сейчас реально получил 824VUP то все равно не работает

в факе я чего то нашел инструкций по установке тоннеля когда второй конец динамический.

поиск по форуму дал противоречивые результаты.
кто говорит, что на стриме надо забыть про ipsec
кто говорит, что нужно включать agressive mode
еще есть XAuth, есть Roaming Users - single-host IPsec clients

хочется как то систематизировать и устаканить информацию
а то понимание не приходит
стрим

Вопрос в том, что именно на стриме нужно забыть о IPSec его там не пускают, это описано в договоре.
А вообще если используется динимические адреса, но нужно использовать Aggressive Mode

про именно стрим - печально
про Aggressive Mode - понял. спасибо

так а какие тогда могут быть варианты безопасного соединения двух сетей? вернее даже одного компьютера со стороны стрима и локальной сети с другой стороны.
это PPTP? L2TP?
или это только для соединения компьютера с комьютером (сервером)
с настройкой этого дела совсем не сталкивался

буду очень признателен за подсказки в этом направлении

а вот тут у человека стрим и вроде все работает
с этого места и ниже несколько постов
http://www.dlink.ru/phorum/viewtopic.php?t=6129#32518
хотя дело было в 2004 году
может тогда были другие правила

неужели никто больше не сталкивался с vpn на стриме

Один из моих коллег хотел настроить на Стриме связь, но после звонка в тех.поддержку Стрима все вопросы отпали.

разговаривал со стримом
говорят что вся фильтрация какая применяется перечислена здесь:
http://stream.ru/filtering/
выдержка:
На текущий момент осуществляется фильтрация входящего трафика пользователей СТРИМ по следующим протоколам и портам.

TCP 25 Предотвращение спам-активности (SMTP open relays) (Anti-spam protection (SMTP open relays)
TCP 135-139, 445 Обеспечение безопасности Windows-систем (Ensuring Windows systems security)
TCP 21, 23, 69, 80, 8080, 254, 255, 161 Защита абонентского оборудования (CPE protection)
UDP 135-139 Обеспечение безопасности Windows-систем (Ensuring Windows systems security)
UDP 69, 161 Защита абонентского оборудования (CPE protection)

порта 500 здесь не видно
ведь по нему же работает ipsec

прочитал договор. нигде не увидел конкретного указания что ipsec нельзя. есть только ссылка на вышеприведенную филььрацию портов и все.
выходит факт закрытия ими ipsec не подтверждатся
как считаете?

Не знаю, когда коллега звонил в поддержку ему войсом сказали, что невозможно пропускать ESP/UDP500/UDP4500, следовательно IPsec и не заводился.
Можете конечно пробывать настроить, если получится, то замечательно.

Неправда - все работает, только вот настройки не совсем как в примере.
У меня подошла только конфигурация:
IKE DH2 DES SHA-1 86400
IPSec DH2 DES SHA-1 3600

Только вот со статической стороны у меня киска стоит, а с динамической - 804.
Долго мучался пока подобрал параметры.
Сейчас буду пробовать поставить тоннель между двумя Dlink - один 824 на статике и 804 на динамике.

именно со стримом.
с одного конца 700, с другого 200
причем, к стриму через ZyXEL (он дает 200-ке приватный адрес)

НА 700 стоит IPSec Tunnel - roaming user
на 200 обычный IPSec Tunnel с адресами.

работает.

не совсем понял, на Стриме можно получить статический адрес без всяких DDNS и пр.?

Какие настройки IKE IPSec ?
а 3DES MD5 поддерживает?

Подтверждаю!
СТРИМ тут не при чем. нечего такого они не фильтруют.
пригошу им извинения за сабжект
после некоторого количества плясок с бубном тоже все заработало.
пришлось использовать dyndns.org
потому как при каджом коннекте роутер со стороны стрима как правило получал новый адрес.
зарегестировался. создал динамический хост. настроил 824 на работу с dyndns. при коннекте он успешно обновляет ip.

работает между DFL-700 (статика) и DI-824VUP+ (стрим)
IKE DH2 3DES MD5 3600
IPSec DH2 3DES MD5 3600

с такими же параметрами и при помощи dyndns настроил еще один тоннель с DI-804HV в третьем офисе. тоже работает.



а можно пару строк про роаминг юзер. это как?
спасибо

еще раз.

700 на нормальном статическом адресе.
в настрйоках туннеля выбрано Roaming User - single host IPsec client

200 на динамическом привантном адресе от маршрутизатора Zyxell подключенно Стрим в нем настройки туннеля LAN-to-LAN