Добрый день перерыл форму но ответа на свой вопрос не нашел.

Ситуация: в центральном офисе DFL-210, на удалённых DI-804HV причем на центральном офисе статические IP, а на удалённых динамические!!! соответственно в настройках файервола прописать нечего. Каким образом можно настроить VPN соединение к серверу 1С центрального офиса? Заранее благодарен!

плохо искал
напрягитесь немножко
viewtopic.php?t=54368&postdays=0&postorder=asc&start=0
примерно со второй страницы все описано пошагово и с настройками

Спасибо большое, где-то я упустил! Спасибо!

Немного не понял, я так понимаю на DI-804HV поднимается Dynamic VPN Tunnel - какие именно данные надо указать там (Local Subnet, Set local user? )? а на DFL210 что именно указывается? - Ведь именно он у меня сервер VPN. Извиняюсь за ламерские вопросы, но ранее никогда не работал с таким оборудованием

На DFL как раз и указывается динамический тоннель
На DI-80x указывается DFL как конечная точка

Спасибо, буду рыть

Построил по схеме, изменений нет. Тунель не поднимется.

Вопрос что понимается под "белый IP DFL" - я так понимаю выданные IP провайдером. У Укртелекома 82.207.ххх.ххх

тогда что "белый IP DI-804HV"? (ip самой DI-804? - 192.168.0.242... или что-то я совсем запутался) - Делал уже и полностью по аналогии, пока результатов ноль

В вашей конфигурации на DI если у нее не внешний динамический IP а серый обязательно использовать NAT Traversal, так же тоннель может не подниматься по причине что провайдер корректно не пропускает некоторые протоколы, например GRE.

Какие прошивки на устройствах?

Приведите настройки на DI и на DFL.

"Белый IP" - это статический внешний ("интернетовский") IP адрес выдаваемый вам провайдером.
Вот начиная с этого поста viewtopic.php?p=293416#293416
все расписано про поднятие тоннелей

Единственный ньюанс, который четко не обозначен в тексте - это ОБЯЗАТЕЛЬНОЕ наличие маршрутов
через интерфейс на котором будут висеть тоннели до пула провайдеров в котором висят удаленные хосты.

И вообще я бы рекомендовала заполнять таблицу маршрутов "рУками", на автомате это как-то через Ж работает

Спасибо Темный Ангел, тунель вроде поднялся по инструкции. DI804 написал - Type: ESP tunnel, State: IKE Established. Но, пинги ни в одну ни в друю сторону не идут.

Пингую: 192.168.0.1 (один из компьютеров сети где стоит DI804HV - ip DI - 192.168.0.242)/
и компьютер из сети где стоит DFL - 192.168.1.2 (DFL на 192.168.1.1)

Логи:

Тоннель у вас так и не поднимается. Не видя выполненых настроек сказать что либо сложно.

DI-804HV:

VPN - Enable
Max. number of tunnels - 10
ID - 1
Tunnel Name - "tunel"
Method - IKE

Aggressive Mode - disable
Local Subnet - 192.168.0.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.1.0
Remote Netmask - 255.255.255.0
Remote Gateway - 82.207.116.xxx
Preshare Key - десятизнак
Auto-reconnect - Enable


Set IKE Proposal:
Proposal Name - tunel
Group 1
3DES
MD5
14400
Sec

Set IPSEC Proposal:
Proposal Name - tunel
Group 1
3DES
MD5
3600
Sec

Остальное все по умолчанию

DFL-210, по аналогии с инструкцией в другой теме:

General
Name: Dyn_IPSec_Tunnel
Local Network: 192.168.1.0/24 (через AdressBook)
Remote Network: 192.168.0.0/24
Remote Endpoint: none
Encapsulation Mode: Both
IKE Config Mode: None

Algorithms
IKE Algorithms: high (DES, MD5, SHA1)
IKE Life Time: 14400
IPsec Algorithms: high (DES, MD5, SHA1)
IPsec Life Time: 3600 Sec

Pre-shared Key: десятизнак
Local ID Type: Auto

IKE XAuth - Off

Automatic Routing - Dynamically add route to the remote network when a tunnel is established

Packet Sizes - 1424

IP Addresses - Automatically pick the address of a local interface that corresponds to the local net

KE Settings
IKE - Main
DH Group - 1

Perfect Forward Secrecy - PFS
DH Group - 1

Security Association - Per Net

NAT Traversal - On if supported and NATed

Dead Peer Detection - Yes

Keep-alive - Auto

Advanced
Add route for remote network - No

Создал правила:
lan_to_ipsec
ipsec_to_lan (значения: Allow, All_Service)

Найдите десять отличий от тех настроек, что приводила я

Опа, спасибо вижу
(ну а это просто невнимательность, извиняюсь)

В DFL-210:
Remote Network: 192.168.0.0/24 - это сеть за DI-804 (в сети там айпишники 192.168.0.1, 192.168.0.2...) так? или нуля не должно быть?

На DFL нужно установить Remote Network = all-nets
viewtopic.php?p=294027#294027

Согласуйте алгоритмы безопасности IPSec,
если на DI-80x используется 3DES,
то и на DFL он должен быть в списке

192.168.0.0/24 <=> 192.168.0.0/255.255.255.0 <=> 192.168.0.0-192.168.0.255