Вопрос взял две эти железяки погонять (для создания тунеля) по примерам настриваю, но тунель не подымается.

DFL 800:
lan_ip 192.168.3.1
lannet 192.168.3.0/24
wan1_ip 192.168.100.201
wan1net 192.168.100.0/24

Создал RemoteHost
Di804_net 192.168.100.0/24
Di804_gw 192.168.100.195

PSK -также создал

Создал IPsec
Также правила (вообщем как описано http://ftp.dlink.ru/pub/FireWall/_rus_% ... Format.pdf

Соединил две железяки между собой (не очень хочется ездить с места на место) по wan, и тишина полная - что-то не то делаю подскажите.

Для DI804 руководствовался http://www.dlink.ru/technical/faq_vpn_24.php

Одним словом двумя руководствами по их примерам - и нечего не получается помогите. Пожалуйста

Если не ошибаюсь Remote Net - это удаленная локальная подсеть.
Т.е. у вас она должна быть, например, 192.168.0.0/24, если настройки LAN на 804 не меняли.

Точно так только я менял на

Di804_net 192.168.100.0/24
Di804_gw 192.168.100.195

192.168.100.0/24 - это у вас внешняя сеть.
Локальная сеть не должна совпадать с внешней.

Да - это точно не так написал. Ночь была и спать хотелось.
Вот что я начал на утро делать (более голова посветлела)

DFL 800
LAN_ip 192.168.111.1
Lannet 192.168.111.0/24
Wan1_ip 192.168.110.1
Wan1net 192.168.110.0/24


DI 804
LAN_ip 192.168.2.1
Lannet 192.168.2.0/24
Wan_ip 192.168.100.1
Wannet 192.168.100.0/24

Перепрошил девайсы, настроил и результат не охти.
Вот на что они матюкаются

Это DI 804

Wednesday November 14, 2007 00:59:26 Send IKE M1(INIT) : 192.168.100.1 --> 192.168.110.1
Wednesday November 14, 2007 00:59:33 Send IKE (INFO) : delete 192.168.100.1 -> 192.168.110.1 phase 1
Wednesday November 14, 2007 00:59:33 IKE phase1 (ISAKMP SA) remove : 192.168.100.1 <-> 192.168.110.1


DFL 800

2007-12-10
19:59:36 Warning ARP
00300049 Default_Access_Rule wan1
192.168.100.1

invalid_arp_sender_ip_address
drop
rev=1 hwsender=00-1b-11-8b-09-2f hwdest=ff-ff-ff-ff-ff-ff arp=request srcenet=00-1b-11-8b-09-2f


Помогите, не знаю где искать

Железяки должны видеть друг друга по внешним интерфейсам... А тут они вообще в разных подсетях. Сделай на DI 804:
Wan_ip 192.168.110.2
Wannet 192.168.110.0/24
И все свершится!

Если не работает тоннель, нужно проверить пинг между внешними IP-адресами. Грубо говоря: пинг есть - значит все будет!

Да они в разных подсетях. Я просто брал пример для LAN-LAN (потому что по настройкам DFL 800 только там нашел).
Т.е. для себя выдумал разные подсети. Это эксперемент, а так собираютсь поднять VPN тунель два офиса в разных городах (интернет ADSL). Вот для этого и взял разные WAN адреса. Сижу провожу эксперемент (потому что потом не наездишься из города в город). В теории понимаю как сделать, а практики небыло. Вот и наступаю на грабли. Что можешь посоветовать. Я уже и скиншоты для себя сделать сижу и проверяю где могу ошибку допустить. Пока результат не какой.

Мое ощущение что или на маршрутезаторе правило какое-то не дает, а воощте-то что-то не то делаю.

WAN-интерфейсы должны друг друга видеть. Т.к. они в разных подсетях, а шлюза нет, они друг друга не видят и тоннель не подымается. В инете они увидят друг друга через шлюзы, поэтому у них может быть в принципе любой маршрутизируемый провайдером IP-адрес. А в случае с экспериментами нужно пока задать WAN`ам адреса из одной подсети.

Во первых, сделайте внешние интерфейсы из одной подсети (между ними роутера нету же пока...)
И второе, в насртойках Remote Net указвается удаленная локальная сеть.

Т.е.
Настройки:
DFL 800
LAN:
LAN_ip 192.168.111.1
Lannet 192.168.111.0/24
WAN:
Wan1_ip 192.168.100.1
Wan1net 192.168.100.0/24
Wan_gw 192.168.100.2
IP_Sec:
RemoteHost
Di804_net 192.168.2.0/24
Di804_gw 192.168.100.2




DI 804
LAN_ip 192.168.2.1
Lannet 192.168.2.0/24
Wan_ip 192.168.100.2
Wannet 192.168.100.0/24
Wan_gw 192.168.100.1

Мужики. Помогите глупому человеку. Я пока принцеп не могу понять. Объясните теорию, чтобы хоть начало (я потом буду добивать теорию). У меня такие вопросы.
LAN это адрес сети.
WAN это адрес внешний (который дает провайдер).
Шлюз за что принимаем, в разных примерах смотрим (кто от "балды", кто адрес удаленного WAN, кто свой LAN). Вот где у меня проблема наверное немогу себе вообразить как это работает. И еще просто две разные железки. Это я сейчас в комнатных условия эксперементы делаю, а потом надо будет завязать ADSL модемы еще - начнется гемор. Помогите если нетрудно, черкните пару слов. Меня каждое слово Ваше уже приблежает к истине. Спасибо.

IPSec работает по IP-адресам, соответственно ему нужно знать подсети локальную и удаленную.
Шлюзом - обычно, указывают шлюз провайдера. В примере я дал удаленный внешний IP, но в данном случае не важно

Так же должен быть известен внешний адрес удаленного устройства.

Вот небольшое описание: http://dlink.ru/technology/vpn.php

Начинаю понимать. В моем тесте нет между железяками маршрутизаторов (понятно). Все сейчас делаю с одной подсетью.
Далее напишу.

Получилось!!! Принцеп понял (не 100%, но все же). Пришлось посидеть с DFL 800 - настройки. Ребята с D-Link помогли. Спасибо. Всем. Сейчас начну уже завязывать на деле. Наверное еще начнутся проблемы, но большую часть я прошел. Спасибо ВСЕМ за помощь!!!!