Возможно ли соединить две подсети между собой через Интернет, если у одной подсети в качестве роутера DFL-210, а в другой Win2K3?
Между двумя серверами Win2K3 можно сделать VPN Site-toSite используя PPTP, а в данном случае как можно решить такой вопрос?

А в чем именно проблема ?

Сделал сервер VPN в RRAS , подключаюсь к нему с обычного компа - через VPN PPTP клиент - соединяется.
На DFL-210 настроил PPTP Сlient - в интерфейсе показывает
IP Address: 192.168.64.201 - это адрес из пула на W2K3
Link Status: Tunnel closed
MAC Address: 00-00-00-00-00-00
Send Rate: 0 kbps
Receive Rate: 0 kbps
Type : Single client tunnel
Sessions : 1
Tunnel status : Closed
PPTP User name : "remote"
PPTP Password : "remote"

в логах тишина с обеих сторон.
правила на dfl для пропускания трафика сделал (Allow)

У кого нибудь получилось скрестить эти два устройства?

На Win2k3 включайте протокол CHAP

То, что посоветовали, сделал, но вроде не в этом была проблема.
И DFL, и W2k3 могут работать по MS-CHAPv2.
я поставил галочки на chap на обоих устройствах, с MS-CHAPv2 не снимал галку.
Сейчас удалось добиться следующего - DFL подключается к W2k3, но соединение видимо закрывется, и это продолжается циклически

Вот логи, читать нужно снизу вверх
Что они могут означать?

2008-03-20
04:14:08 Notice PPTP
2700022 pptp_tunnel_closed
iface=if_pptp remotegw=195.хх.хх.хх

2008-03-20
04:14:08 Notice PPTP
2700008 pptp_session_closed
iface=if_pptp remotegw=195.хх.хх.хх callid=13

2008-03-20
04:13:31 Warning PPTP
2700013 pptp_session_up
callid=13 iface=if_pptp remotegw=195.хх.хх.хх auth=MS-CHAPv2 mppe=RC4-128

2008-03-20
04:13:30 Notice PPTP
2700009 pptp_session_request
remotegw=195.хх.хх.хх

2008-03-20
04:13:30 Notice PPTP
2700021 pptp_tunnel_up
iface=if_pptp remotegw=195.хх.хх.хх

2008-03-20
04:13:30 Notice PPTP
2700018 pptpclient_connected
iface=if_pptp remotegw=195.хх.хх.хх

2008-03-20
04:13:30 Notice PPTP
2700017 pptpclient_start

вообще реально соединить туннелем эти два устройства, у кого-нибудь получилось?
Может что-то не то делаю?
подскажите хотя бы в общих чертах алгоритм.

Такое впечателение, что нет возможности сделать site-to-site соединение через PPTP. На W2k3 шлюзе сделал аккаунт, разрешил ему подключаться (Dial-in), при попытке подключения на шлюзе выдает ошибку аутентификации. Сделал точно такого же пользователя и таким же паролем в домене (также разрешил подключаться) - подключается, но ненадолго, логи с DFL выше.
На DFL настроен PPTP Client с этим же логином и паролем, по инструкции.

В логах винды -

"The user Domain\remote connected to port VPN5-12 has been disconnected because no network protocols were successfully negotiated."

"Разъединились, т.к. не смогли договориться о сетевых протоколах."

Имеется ввиду tcp/ip.

YuriAM
Спасибо, а в чем может быть причина?

Возможно у вас Win пытается использовать кроме MPPE дополнительно еще один протокол шифрования, если не ошибаюсь он называется MPPC.

MPPE (Microsoft Point-to-Point Encryption) это шифрование, а сжатие данных это MPPC(Microsoft Point-to-Point Compression) http://ru.wikipedia.org/wiki/MPPE

Спасибо за уточнение.

между виндой и железяками лучше (IMHO) использовать IPSec..
так StS корректней работает.

Делаю на Win2k3 (Isa2004) мастером isa Ipsec туннель , с такими же данными делаю туннель на DFL-210, делаю правила для прохождения траффика и все равно не соединяется.
В логах ISA увидел - это что инициируется по 500 порту соединение с DFL и все. Позже закрывается.
На DFL образовался ключ IKE SA
2008-03-22 17:23:49 2008-03-23 01:23:49 3des-cbc

Вот политика IPSec с ISA, по умолчанию:

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication method: Pre-shared secret (password)
Security Association lifetime: 28800 seconds

IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time rekeying: ON
Security Association lifetime: 3600 seconds
Kbyte rekeying: OFF

В политике на DFL в обеих фазах выбрал High
временные параметры такие же.
IKE = main, Diffie-Hellman group=2.
сменил Perfect Forward Secrecy на Diffie-Hellman group=2, по умолчанию был выключен.
метрику сделал у этого туннеля самую младшую = 80.
я так понимаю, средств для диагностики IPSec туннеля вообще нет, только методом проб и ошибок.

Может на ISA надо вручную маршрут какой прописать?
Есть у кого нибудь два этих разных устройства, можете провести эксперимент по сращиванию?

Может ли быть причина в том, что на DFL-210 выдается динамический IP адрес через PPPoE?
При установке соединения я забивал выданный через PPPoE временно реальный IP адрес

Кто нибудь из участников форума может подсказать возможно ли установить IPSEC туннель с DFL-210, если адрес динамический, через PPPoE. Соеднинение устанавливалось во время сеанса PPPoE через выданный белый IP адрес