Здравствуйте!

Пытаюсь соединиться через vpn c DI-804HV. Сеть следующей конфигурации:
WinXP SP2 rus - 192.168.0.3(с которой пытаюсь зайти в подсеть 192.168.1.0);
шлюз - linux redhat LAN - 192.168.0.254, WAN 213.***.**.98, для IP 192.168.0.3 на этом фаерволе разрешено все;
маршрутизатор DI-804HV - WAN 213.***.**.100, LAN 192.168.1.254 (в фаерволе с 213.***.**.98 разрешено все на вход/выход и с 213.***.**.100 тоже, между этими IP ничего нет, только свич) ;
WinXP SP2 rus - 192.168.1.100(пробовал пинговать и 192.168.1.254 с тем же результатом).

Делал все как написано здесь:
http://www.dlink.ru/technical/faq_vpn_18.php
пробовал несколько раз, результат одинаковый. Последний раз плюс ко всему скачал последнюю прошивку(1.43 от 26.01.2006), не помогло. Может я что-то не так понял?

WinXP при пинге выдает сообщение "Согласование уровня безопасности IP" и так до бесконечности, а DI-804HV в логах пишет следующее:
WAN Type: Static IP Address (V1.43)
Display time: Monday November 13, 2006 20:34:33
Monday November 13, 2006 20:34:06 Receive IKE M1(INIT) : 213.***.**.98 --> 213.***.**.100
Monday November 13, 2006 20:34:06 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Monday November 13, 2006 20:34:06 Send IKE M2(RESP) : 213.***.**.100 --> 213.***.**.98
Monday November 13, 2006 20:34:06 Receive IKE M3(KEYINIT) : 213.***.**.98 --> 213.***.**.100
Monday November 13, 2006 20:34:06 Send IKE M4(KEYRESP) : 213.***.**.100 --> 213.***.**.98
Monday November 13, 2006 20:34:06 Receive IKE M5(IDINIT) : 213.***.**.98 --> 213.***.**.100
Monday November 13, 2006 20:34:06 Send IKE M6(IDRESP) : 213.***.**.100 --> 213.***.**.98
Monday November 13, 2006 20:34:06 IKE Phase1 (ISAKMP SA) established : 213.***.**.100 <-> 213.***.**.98
Monday November 13, 2006 20:34:06 Receive IKE Q1(QINIT) : [213.***.**.98]-->[213.***.**.100]
Monday November 13, 2006 20:34:06 SPD Error : not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98
Monday November 13, 2006 20:34:08 Receive IKE Q1(QINIT) : [213.***.**.98]-->[213.***.**.100]
Monday November 13, 2006 20:34:08 SPD Error : not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98
Monday November 13, 2006 20:34:10 Receive IKE Q1(QINIT) : [213.***.**.98]-->[213.***.**.100]
Monday November 13, 2006 20:34:10 SPD Error : not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98
Monday November 13, 2006 20:34:14 Receive IKE Q1(QINIT) : [213.***.**.98]-->[213.***.**.100]
Monday November 13, 2006 20:34:14 SPD Error : not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98
Monday November 13, 2006 20:34:22 Receive IKE Q1(QINIT) : [213.***.**.98]-->[213.***.**.100]
Monday November 13, 2006 20:34:22 SPD Error : not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98


...Помогите пожалуйста разобраться.

С уважением, Тарасов Андрей.

Ошибка либо в настройка 804-го либо в компьютере:
SPD Error : not found [192.168.0.3]<->[192.168.1.0]
Не найдена запись в SecurityPolicyDatabse, которая отвечает за приминение шиврования к трафика.
Огласите настройки 804-го.

vpn metod: IKE
Aggressive Mode: галочка не стоит
Local Subnet:192.168.1.0
Local Netmask:255.255.255.0
Remote Subnet:192.168.0.0
Remote Netmask:255.255.255.0
Remote Gateway:213.***.**.98
Preshare Key: одинаковый с компьютером
Extended Authentication(xAUTH): галочка не стоит
IPSec NAT Traversal: галочка не стоит
Auto-reconnect: галочка не стоит
IKE Proposal Index: Group2,3DES,SHA1, 28800sec
IPSec Proposal Index: DH Group-none;ESP,3DES,MD5,28800sec
в фаерволе 804-го на адрес с которого пытаюсь зайти разрешено все и с него и на него(и во внутреннюю сеть и во внешнюю).

извиняюсь за долгий ответ, раньше не мог добраться до 804-го...

Хотелось бы разобраться с устройством, настройки я написал, а ответа нет

ИМХО -
( not found [192.168.0.3]<->[192.168.1.0] from peer IP address 213.***.**.98 )
- означает , что шлюз 213.***.**.98 не знает , что делать с трафиком до [192.168.0.3] или от него.

шлюз - linux redhat LAN - 192.168.0.254, WAN 213.***.**.98 - он терминирует тоннель ? или не он , а комп ?

Перешил биос на Firmware Version: V1.43, Thu, Jan 26 2006. Сделал сброс настроек через кнопочку reset. Настроил все заново, при этом
упростил ситуацию - 804HV стоит с внешним ip-адресом 213.***.**.100, рядом в свич подключена машина с WinXP Pro с адресом 213.***.**.99. Оба друг друга пингуют, все нормально. Здесь уже никаких промежуточных устройств нет, только 804HV и компьютер с WinXP и отключенным фаерволом. А результат тотже SPD Error : not found [213.***.**.99]<->[192.168.0.0] from peer IP address 213.***.**.99 в логах 804-го и "Согласование уровня безопасности" на компе.
Все это проделывал много раз на разных машинах, перенастраивал 804-й - результат одинаковый. Делаю строго как написано в инструкции, может в этом проблема? В поиске на форуме нашел похожие сообщения, к сожалению без ответа, единственное кто-то написал что решил эту проблему путем перепрошивки на другую версию, но не понятно на какую.
Соединение vpn насколько я понимаю само по себе происходит, но 804-й не хочет или не знает что такое подсеть 192.168.0.0, что довольно странно, у него вроде все прописано. Может я что-то не понимаю. Ес-но в этой конфигурации никто никого не запрещает, в 804-м плюс ко всему в фаерволе для адреса 213.***.**.99 разрешено все, на компьютере все открыто.
Очень хотелось бы услышать ответ специалиста D-link.

Про виндоус точно ничего не подскажи ибо не знаю.

А я про Windows ничего и не говорил, меня интересует проблема с vpn ipsec тунелем, который не поднимается на Dlink DI-804HV, а это, простите, в Вашей компитенции. Именно в нем проблема (если я что-то правильно понимаю), и фаервол я имел ввиду встроенный в 804-й. Сейчас картина предельно проста - есть 804-й с wan портом 213.***.**.100 и компьютер с WinXP, отключенным фаерволом и настроенной локальной политикой безопасности. И вопрос стоИт в том, почему DI-804HV при прописанных настройках локальной сети 192.168.0.0 в настройках vpn(ведь vpn-соединение, насколько я понял из лога он устанавливает), не знает что с ними делать или не может у себя прочитать эту информацию?

А в том-то и дело, что правила FW не распространяются на IPSec туннели. Они работают согласно тех параметров Local/Remote net, согласно них принмается и отправляется трафик.

Честно говоря, хотелось бы конструктивных предложений, а не коротких отписок по принципу "это я не знаю" или "эта штука работает вот так". Вы попросили огласить настройки 804-го - пожалуйста, но в ответ "ничего не подскажу"...странно. Пишу о том, что проблема, видимо в 804-м, в ответ теория о правилах фаервола... опять странно. Такое впечатление, что мои сообщения никто толком не читает, еще раз прошу помочь _разобраться_ по какой причине происходит, вникнуть в суть проблемы и все-таки дать рекомендации что делать в данной ситуации - где-то настройки подправить (которых вроде не так много) или отвозить вам в гарантийку?

Бьюсь сегодня с этим.
Дело продвинулось после того как вместо
Шаг 12 > Нажать Select IPSec Proposal...
Шаг 13 > Ввести имя для предложенного ID номер 1 и выбрать None из выпадающего меню DH Group.
Шаг 14 > Выбрать ESP в Encapsulation Protocol.
Шаг 15 > Выбрать 3DES в Encryption Algorithm и MD5 в Authentication Algorithm.
Шаг 16 > Ввести значение Lifetime равным 28800 и выбрать Sec.
сделал
Шаг 12 > Нажать Select IPSec Proposal...
Шаг 13 > Ввести имя для предложенного ID номер 1 и выбрать Group2 из выпадающего меню DH Group.
Шаг 14 > Выбрать ESP в Encapsulation Protocol.
Шаг 15 > Выбрать 3DES в Encryption Algorithm и SHA-1 в Authentication Algorithm.
Шаг 16 > Ввести значение Lifetime равным 28800 и выбрать Sec.
Туннель устанавливается
Т.е. при пинге первые 2 строчки
Согласование параметров безопасности
а потом Узел недоступен.
Бьюсь дальше

2ata
Уважаемый, вся проблема в данном вопросе упирает только в настройку WinXP а точнее её кривой реализации IKE.
Если бы Вы использовали софтоый клиент, то уверяю Вас таких проблем бы не было. У меня есть документ, который может подружить DS-601(наш IPSec клиент и DI-804hv) и такая связка работает.

Интересно, в FAQ ни слова о том, что могут быть проблемы с IKE в windows, причем они там в таком случае просто должны быть, т.к. все winxp настроены одинаково. Отсюда напрашивается вывод, что либо вы в faq что-то не дописали (а именно тот самый ), либо DI-804HV не изначально не ориентирован на работу IPSEC с winxp и требуется "доработать напильником". В любом случае, если делать строго по тому что написано в FAQ, результат будет отрицательный. И судя по вашему форуму, не я один сталкиваюсь с этой проблемой. Прошу Вас выложить здесь этот документ, который поможет решить данную проблему.

Я не в состоянии давать рекомендации по настройке WinXP для работы с IPSec, для этого есть microsoft.com, я могу объяснить для чего нужно каждое поле в DI-804hv, но настраивать не в состоянии. Большинство факов выложены нашими пользователями.

Вот и объясните, пожалуйста подробно, что и какое поле означает в 804-м, а также еще интересуют новые поля, которые появились в DI-804HV в последней прошивке, т.к. они нигде не описаны.