Имеется два офиса (А и Б). В офисе А стоит VPN на DI-804HV, провайдер дает статический IP адрес. В Б - Planet MH-1000, динамический IP адрес. В Б есть и второй провайдер (PPTP), но он отключен. Настраивается VPN с первым провайдером.

Настраиваю на обоих концах VPN по IPSec. Настройки роутеров:

804, офис А:
IP Address 062.......250
Subnet Mask 255.255.255.252
ISP Gateway 062.......249
DNS 1 212.......006
DNS 2 195.......005

Tunnel name - TUN1
Aggressive mode - Yes
Local subnet - 192.168.000.000
Local netmask - 255.255.255.000
Remote subnet - 192.168.201.000
Remote netmask - 255.255.255.000
Remote gateway - 83......35 (адрес, под которым снаружи виден офис Б, определен по myip.ru)
IKE Keep Alive - 192.168.201.001 (LAN адрес маршрутизатора в офисе Б)
Preshare key - ABCDEF
xAUTH - No
IPSec NAT Traversal - No
Auto reconnect - Yes

IKE Proposal - Grpop 2, 3DES, SHA1, 28800 sec
IPSec Proposal - Group2, EPS, 3DES, SHA1, 28800 sec

Planet, офис Б:
DHCP, obtain IP address automatically
RIP - disable

Connection Name - TUN1
Tunnel - Enabled
Interface - WAN1
Local
ID - IP Address - 83......35 (адрес, под которым снаружи виден офис Б, определен по myip.ru)
Network - Subnet 192.168.201.0; Netmask - 255.255.255.0
Remote
Secure Gateway - IP Address - 062.......250 (WAN офиса А)
ID - Remote WAN
Network - Subnet - 192.168.0.0, Netmask - 255.255.255.0

Secure Association - Aggressive Mode
Method - ESP
Encryption Protocol - 3DES
Authentication Protocol - SHA-1
Perfect Forward Secure - Enabled
Key Group - MODP 1024 (GROUP 2)
PreShared Key - ABCDEF
IKE Life Time 28800 Seconds
Key Life Time 28800 Seconds
Netbios Broadcast - Enabled
DPD Function - Disabled

Далее 804 инициирует соединение. Тоннель не устанавливается, на планете лог пустой, на 804:
Friday February 17, 2006 12:39:57 SPD : reject mobile user(83......35) using subnet[192.168.201.0/255.255.255.0] with others(195......3)

Вот этот 195......3 - это адрес, через который натится трафик у второго провайдера на Планете. Откуда он вообще взялся в этом соединении? Я перепроверил настройки тоннеля на обоих маршрутизаторах - нет его там!

Пробую поднять тоннель с планета. Планет пишет, что тоннель стоит (Phase_1_Established, Phase_2_Established), его лог:
Aug 6 11:41:52 "GRETAW2" #172: Send Aggressive mode initial message of ISAKMP
Aug 6 11:41:53 packet from 62......250:500: ISAKMP IKE Packet
Aug 6 11:41:53 "GRETAW2" #172: Received Aggressive mode first response message of ISAKMP
Aug 6 11:41:53 "GRETAW2" #172: Aggressive mode peer ID is ID_IPV4_ADDR: 62......250
Aug 6 11:41:53 "GRETAW2" #172: Send Aggressive mode second message of ISAKMP
Aug 6 11:41:53 "GRETAW2" #172: sent AI2, ISAKMP SA Established
Aug 6 11:41:53 "GRETAW2" #173: Send Quick mode initial message
Aug 6 11:42:03 "GRETAW2" #173: Send Quick mode initial message

Вот лог 804-го:
Friday February 17, 2006 12:45:47 Receive IKE A1(AINIT) : [83......35]-->[62......250]
Friday February 17, 2006 12:45:47 Try to match with ENC:3DES AUTH SK HASH:SHA1 Group:Group2
Friday February 17, 2006 12:45:47 Send IKE A2(ARESP) : [62......250]-->[83......35]
Friday February 17, 2006 12:45:47 Receive IKE A3(AHASH) : [83......35]-->[62......250]
Friday February 17, 2006 12:45:47 IKE Phase1 (ISAKMP SA) established : [62......250]<->[83......35]
Friday February 17, 2006 12:45:47 Receive IKE Q1(QINIT) : [83......35]-->[62......250]
Friday February 17, 2006 12:45:57 Receive IKE Q1(QINIT) : [83......35]-->[62......250]

Но! На 804-м в статусе тоннеля стоит Idle! "Чужая" подсеть при этом не пингуется ни со стороны А, ни со стороны Б.

Что не так?

Перезагрузка 804-го его немного встряхнула - при попытке поднять тоннель он больше не упоминает адреса чужих провайдеров. Вот его лог:
Friday February 17, 2006 15:01:41 Send IKE A1(AINIT) : 62......250 --> 83......35
Friday February 17, 2006 15:01:46 IKED re-TX : AINIT to 83......35
Friday February 17, 2006 15:01:51 IKED re-TX : AINIT to 83......35
Friday February 17, 2006 15:02:01 IKED re-TX : AINIT to 83......35
Friday February 17, 2006 15:02:11 IKED re-TX : AINIT to 83......35

Лог на планете остается пустым.

При попытке поднять тоннель с Планета все остается, как в первом посте

На 804-м должна быть установлена прошика 1.44b06
Инициатором соединения может быть в данном случае только Planet ну или если у второго провайдера настроен portmapping то оба устройства. В качестве ID можно использовать fqdn, потому что адрес приходит от НАТа, а аутификация по серым адресам

А где ее можно взять? На http://www.dlink.com/products/support.a ... 0#firmware все кончается версией 1.43, а на ftp://ftp.dlink.ru/pub/Router/DI-804HV/Drivers/ вообще ничего нет.

прошивка называется firmware
соотвествено взять её можно в соотвествующей папке

Ну да, ступил... только там тоже последняя версия 1.43. У меня такая и стоит.

не торопитесь:
ftp://ftp.dlink.ru/pub/Router/DI-804HV/Firmware/144b06

Да, спасибо. Прошивку я поменял. Теперь при подъеме канала с Планета лог на 804-м слегка изменился.

Вместо:
Friday February 17, 2006 12:45:47 Receive IKE Q1(QINIT) : [83......35]-->[62......250]
Friday February 17, 2006 12:45:57 Receive IKE Q1(QINIT) : [83......35]-->[62......250]

Стало:
Saturday January 14, 2006 16:02:09 Receive IKE Q1(QINIT) : [83......35]-->[62......250]
Saturday January 14, 2006 16:02:09 error = 18
Saturday January 14, 2006 16:02:19 Receive IKE Q1(QINIT) : [83......35]-->[62......250]
Saturday January 14, 2006 16:02:19 error = 18

Т. е. вторая фаза по-прежнему не проходит. Что за ошибка 18?


Я не совсем понял - это что ж, даже если инициатором выступает Планет? Дело в том, что раньше вместо Планета стоял второй 804-й, и все нормально работало, если он инициировал поднятие тоннеля.