Привет, теж яйца(

Настроил полностью как указала Темный ангел:

DI-804HV:
VPN - Enable
Max. number of tunnels - 10
ID - 1
Tunnel Name - "tunel"
Method - IKE

Aggressive Mode - disable
Local Subnet - 192.168.0.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.1.0
Remote Netmask - 255.255.255.0
Remote Gateway - 82.207.116.xxx
Preshare Key - десятизнак
Auto-reconnect - Enable


Set IKE Proposal:
Proposal Name - tunel
Group 1
DES
MD5
14400
Sec

Set IPSEC Proposal:
Proposal Name - tunel
Group 1
DES
MD5
3600
Sec

Остальное все по умолчанию

DFL-210:
General
Name: Dyn_IPSec_Tunnel
Local Network: lannet (192.168.1.0/24)
Remote Network: all-nets (0.0.0.0/0)
Remote Endpoint: none
Encapsulation Mode: Both
IKE Config Mode: None

Algorithms
IKE Algorithms: ike_algoritms (DES, MD5, SHA1)
IKE Life Time: 14400
IPsec Algorithms: ipsec_algoritms (DES, MD5, SHA1)
IPsec Life Time: 3600 Sec

Pre-shared Key: десятизнак
Local ID Type: Auto

IKE XAuth - Off

Automatic Routing - Dynamically add route to the remote network when a tunnel is established

Packet Sizes - 1424

IP Addresses - Automatically pick the address of a local interface that corresponds to the local net

KE Settings
IKE - Main
DH Group - 1

Perfect Forward Secrecy - PFS
DH Group - 1

Security Association - Per Net

NAT Traversal - On if supported and NATed

Dead Peer Detection - Yes

Keep-alive - Auto

Advanced
Add route for remote network - No


Правила:
lan_to_DynIPSec: NAT - all_services; lan- lannet; wan - all-nets
DynIPSec_to_lan: NAT - all_services; wan - all-nets; llan- lannet

NAT поставил потому что сеть "Серая", ставил и "Allow" - безрезультатно.

При попытке установить подключение в DI-804HV - получаю:

Type: ESP Tunel; State: IKE established; Life time 3540
Тоесть, соединение устанавливается. Пингую как с самого DFL, так и с локальной машины (192.168.1.2) удаленную (192.168.0.1) - пинга нет


Еще нюансы:
DFL-210 включен в сеть где 1 компьютер (с которого производится настройка - ip 192.168.1.2), а DI804HV (его ip 192.168.0.242 - причем на DFL мы указываем "Local Network: lannet (192.168.1.0/24)" - не влияет ли?) напрямую подключен к компьютеру (192.168.0.1) от которого интернет раздается пользователям (порядка 30 компьютеров) через UserGate (+nat)

Неверно прописаны правила , учим мат.часть



Верно так (пример)
lan_to_DynIPSec: Allow - all_services; lan- lannet; DynIPSec - all-nets
DynIPSec_to_lan: Allow - all_services; DynIPSec - all-nets; lan- lannet

WAN и DynIPSec - это РАЗНЫЕ интерфейсы для устройства

Спасибо большое, в понедельник проверю. Это для пингов из сети, но не пингуется и с DFL`а! DFL не пингует машину по ту сторону тунеля ни DIшку. Может еще где порыть? Офисы территориально удалены - и чтобы проверить настройки - приходится ездить за 50 км. Поэтому если есть еще предложения по возможным дырам. Был бы признателен получить комменты.

Настройте удаленное администрирование DI и DFL, настройки удаленно вполне вы можете так изменить, а проверить работоспособность можно простым ping, но не забывайте, для того чтоб DFL пинговался из тоннеля вам надо это разрешить правилом.

Блин, запарился уже. Проверил все настройки, подправил все то, что писалось выше. DI показывает, что тунель поднимается пингов нет на машину - c которой настаивался DI. Как проверить наличие тунеля с DFL?

P.S. Интернет через PPPoE

Через консоль можно проверить командой ipsecstat, через веб -> Status -> IPSec. Если тоннель поднялся а пакеты не ходят, смотрите правила. и настройки IPSec на DFL.

Status -> IPSec - Dyn_IPSec_Tunnel - все значения по нулям (???)



Дело в том что не пингуется и средствами DFL.




Настройки согласно выше приведенным примерам. Посмотрите пожалуйста еще раз их чуть выше...

.

Может ли кто дать файл конфигурации для прошивки 20.01 - для такой схемы, для проверки настроек - был бы очень благодарен...

Можете предоставить доступ у к устройствам?

Для Вас?

Могу, как раз в субботу буду настраивать удаленный доступ. напишу в ПМ. Спасибо

2 Sergey Vasiliev

Кинул в личку файл конфигурации - посмотрите пожалуйста где бока!

Откройте доступ к обоим устройствам, конфига недостаточно.

Все разобрался! Сбросил полностью все настройки на DFL и DI-804HV (последний, так же перепрошил), остальное сделал по аналогии постов выше, есдинственное - создал правило по которому разрешил пинговаться DFL из вне. После этого тунель отлично поднялся, и пинги пошли на машины стоящие за DFL`ом.

Все еще раз большое спасибо!

Смею предположить, что у вас был указан в качестве "кип аливе" внутренний адресс DFL.
Тогда в целях повышения безопасности вам нужно разрешить пинг ядра из тоннеля, а не из вне.