День добрый! подскажите пжл, возможно ли сделать такое? Судя по настройкам IPSec можно настроить только между двумя DES-G804V. В настройках я не нашел где прописывать IKE Proposal Phase I и Phase II

Параметры Phase I доступны сразу в меню добавления VPN соединения
( параметры Authentication Type,Encryption,Perfect Forward Secrecy).

Параметры Phase II параметры доступны для изменения уже после добавления соединения (после нажатия кнопки Apply). Зайдите в редактирование созданного VPN соединения (иконка листка к карандашом в списке созданных VPN соединений) и нажмите кнопку Advanced Option. Теперь настройте параметры Hash Function,Encryption,Diffie-Hellman Group.

Там же в меню Advanced Option вы можете настроить время жизни обоих фаз ( Lifetime), а также KeepAlive и другие параметры.

_________________
С уважением, Гакало Алексей

в логах пишет такую вещь
gateway:ipforw:none: [INFO]SA Under Negotiating, Drop Packet.
Feb 12 08:50:17
gateway:ipsec:none: [DEBUG]check_autoike(): IPSEC_FLAG_WAITING_TRIGGER 2

Несогласованные ( неодинаковые) параметры туннеля (Proposal) на концах тунеля.
Устройство не может настроить SA.

_________________
С уважением, Гакало Алексей

всне настройки проверил, не хочет и все. Нашел DI-824VUP, ностроил с такими же параметрами, один раз соединилась и все, фаза 1 проходит нормально, а потом выдает такой лог

Tuesday July 22, 2008 12:28:09 Send IKE Q1(QINIT) : 172.19.254.0 --> 172.18.1.0
Tuesday July 22, 2008 12:28:14 IKED re-TX : QINIT to *.*.*.*
Tuesday July 22, 2008 12:28:19 IKED re-TX : QINIT to *.*.*.*
Tuesday July 22, 2008 12:28:29 IKED re-TX : QINIT to *.*.*.*
Tuesday July 22, 2008 12:28:39 IKED re-TX : QINIT to *.*.*.*
Tuesday July 22, 2008 12:28:59 IKED re-TX : QINIT to *.*.*.*
Tuesday July 22, 2008 12:29:00 Send IKE (INFO) : delete [172.19.254.0|1.*.*.*]-->[*.*.*.*|172.18.1.0] phase 2
Tuesday July 22, 2008 12:29:00 IKE phase2 (IPSec SA) remove : 172.19.254.0 <-> 172.18.1.0
Tuesday July 22, 2008 12:29:00 inbound SPI = 0x58000010, outbound SPI = 0x0

может какие хитрые настройки на исе сделать надо?
меняя секунды в phase II туннель поднимается только один раз

Приведите порядок настройки вами туннеля на Исе, а также
параметры (пропосалы) туннеля.

_________________
С уважением, Гакало Алексей

ISA

Phase I
Encryption 3DES
Authentication Type SHA
Группа Диффи-Хелмана Группа 2 (1024 бита)
проверка подлинности и создание нового ключа 28800 сек

Phase II
Encryption 3DES
Authentication Type SHA
Смена ключа каждые 3600 сек
PFS Группа Диффи-Хелмана Группа 2 (1024 бита)

D-Link DSL-G804V
Proposal ESP
Encryption 3DES
Authentication Type SHA
Perfect Forward Secrecy MODP Group 2 (1024)

Опция Advanced Options
IPSec
IKE Mode main

IKE Proposal
Hash Function SHA1
Encryption 3DES
Diffie-Hellman Group MODP 1024 (Group 2)

SA Lifetime
Phase 1 (IKE) minutes 480
Phase 2 (IPSec) minutes 60

А подсети какие соединяете? их IP,маска.
(local net, remote net)?
Они случайно не одинаковые на обоих сторонах ?

А также ,скажите какая у вас прошивка на DSL-G804V.
Последняя 1.00.08.dm2
Если не такая ,желательно скачать с
ftp://ftp.dlink.ru/pub/ADSL/DSL-G804V/Firmware
и прошить устройство через WEB интерфейс.

_________________
С уважением, Гакало Алексей

подсеть 172.18.1.0/24 и 172.19.254.0/24
прошивка последняя 1.00.08.dm2

Ок. Мы проверим в ближайшее время тоннель с вашими настройками.
О результатах сообщим в этой теме.

_________________
С уважением, Гакало Алексей

To ma3ca

Мы проверили работу IpSec туннеля между двумя DSL-G804V по следующей схеме:



При настройке двух DSL-G804V использовались те же настройки IpSec политик, которые Вы описали.
После применения настроек на устройствах, IpSec туннель был успешно установлен и ICMP пакеты проходили из одной локальной сети в другую.
Позднее мы проверим работу DSL-G804V в связке с ISA2004 (к сожалению, мы не распологаем ISA2006) и напишем Вам о полученных результатах / приведем пример настройки.

_________________
С уважением, Давыдов Денис.

проверил ipsec на других железках. Первый раз соединяется, а после дисконнекта туннель перестает подключаться пока не пройдет некоторое время, потом опять соединится и после дисконнекта происходит тоже самое. Помогает отключение и включение туннеля ipsec на ISA, а перезагрузка железки не помогает. Возможно ISA не удаляет созданные туннели (может ключи ipsec) какое-то время.
И еще один вопросик: у вас есть описание по командной строке для D-Link?

Что касается ISA: мы в скором времени (на этой неделе) проведем тестирование и опишем работоспособность связки ISA 2004 и DSL-G804V

Что касается описания CLI: данный режим предназначен для использования инженерами сервисных центров и руководство по этому режиму не доступно для публичного доступа.
Тем не менее, в CLI интерфейсе есть справка по каждой команде.

_________________
С уважением, Давыдов Денис.

я попробовал на 3 ISA серверах, 2 из них только установленные, периодически все равно пропадает ipsec туннель. Железка кажется очень сырая. Нашлось столько багов: telnet с первого раза не заходит, ATM Class не сохраняет, постоянно стоит UBR; PPTP туннель дает сильные задержки, до 1000 мс, хотя до сервера 19 мс, ну и так же работает как ipsec, только рвется и заново соединяется, но траффик не идет; DHCP сервер не выдает DNS сервера, прописанные вручную; Firewall порадовал, когда включается, то блокирует весь трафик не только с WAN, но и с LAN ( прямая дорога в CLI через консоль для отключения его); скорость ADSL процентов на 20 меньше чем в других железках; syslog вобще загадочно показывает логи, что-то полностью, что-то только [DEBUG], хотя стоит в параметрах all, а в Eventlog есть то, что в syslog нет. И это еще не полный список...

А это таймауты PPTP туннеля
Ответ от 172.19.0.6: число байт=32 время=456мс TTL=126
Ответ от 172.19.0.6: число байт=32 время=1015мс TTL=126
Ответ от 172.19.0.6: число байт=32 время=690мс TTL=126
Ответ от 172.19.0.6: число байт=32 время=18мс TTL=126
Ответ от 172.19.0.6: число байт=32 время=94мс TTL=126
Ответ от 172.19.0.6: число байт=32 время=986мс TTL=126

а вот так с сервера напрямую
Ответ от *.169.*.216: число байт=32 время=19мс TTL=119
Ответ от *.169.*.216: число байт=32 время=18мс TTL=119
Ответ от *.169.*.216: число байт=32 время=18мс TTL=119
Ответ от *.169.*.216: число байт=32 время=17мс TTL=119
по ipsec 19 мс

вспомнил еще одну интересную вещь: Если есть 2 PPTP туннеля и посмотреть PPTP Status, то в них обоих IP (выданный) адрес одинаковый
И на последок
иногда при создании PPTP туннеля выдает ошибку и выкидывает в Error Log

Уважаемый ma3ca!
Если вы действительно стчитаете, что в устройстве есть какие-то недоработки (баги), пришлите мне и Денису Давыдову на e-mail
( agakalo@dlink.ru , ddavydov@dlink.ru )
описания вашей схемы, логи, возможно скриншоты с ошибками и другую тех информацию.
А голословно заявлять в форуме- это простите каждый может.

Я пользуюсь этой железкой в офисе 2 года.
5 IPSEC туннелей,3 PPTP туннеля одновременно, ADSL 2+ Annex M, настроенный фаервол и шейпинг и поверьте мне все работает прекрасно.

_________________
С уважением, Гакало Алексей