Было организовано VPN подключение к головному нескольких удалённых офисов через интернет с использованием DFL-700. Всё сносно работало, но в некий момент в связи с выходом из строя одного из вышеупомянутых (вообще нередкая картина) было принято решение поставить в головной офис DFL-800 как имеющийся в настоящее время в продаже. Далее поглядывая на всякий случай в инструкции и рекомендации с сайта DLINK настраиваю VPN, прописываю правила как положено, VPN устанавливается, трафика между подсетями нет, пинги не идут, выход в интернет есть по умолчанию. Прошиваю DFL-800 последней версией. Ничего не меняется. "ПАМАЖИТЕ ЧЕМ МОЖИТЕ" плииз.

Вы приведите настройки IPSec на обоих устройствах.

1. DFL-700
Name Sap-Sed
local net 192.168.1.0/24
remote net 192.168.0.0/24
remote gateway a.b.c.42 (адрес противоположной стороны)

ПОДРОБНЕЕ:

Edit IPsec tunnel Sap-Sed:
Name: Sap-Sed
Local Net: 192.168.1.0/24
Authentication:
PSK - Pre-Shared Key
PSK: *******
Tunnel type:
LAN-to-LAN tunnel
Remote Net: 192.168.0.0/24
Remote Gateway: a.b.c.42

Route: V Automatically add a route for the remote network.
Proxy ARP: V Publish remote network on all interfaces via Proxy ARP.

Edit advanced settings of IPsec tunnel Sap-Sed:
Limit MTU: 1424

IKE Mode: Main mode IKE
IKE DH Group: 2 - modp 1024-bit

PFS: Enable Perfect Forward Secrecy
PFS DH Group: 2 - modp 1024-bit

NAT Traversal: On if supported and needed (NAT detected between gateways)

Keepalives: No keepalives.



IKE Proposal List
Cipher Hash Life KB Life Sec
#1: AES-128 Allowed:128-256 SHA-1 0 28800
#2: AES-128 Allowed:128-256 MD5 0 28800
#3: 3DES SHA-1 0 28800
#4: 3DES MD5 0 28800
#5: Blowfish-256 Allowed:128-448 SHA-1 0 28800
#6: Blowfish-256 Allowed:128-448 MD5 0 28800
#7: -
#8: -

IPSec Proposal List
Cipher HMAC Life KB Life Sec
#1: AES-128 Allowed:128-256 SHA-1 0 3600
#2: AES-128 Allowed:128-256 MD5 0 3600
#3: 3DES SHA-1 0 3600
#4: 3DES MD5 0 3600
#5: Blowfish-256 Allowed:128-448 SHA-1 0 3600
#6: Blowfish-256 Allowed:128-448 MD5 0 3600
#7: -
#8: -

Продолжение следует

DFL-800
Version="dfl.2.20.01" Name="DFL-800"

<IPRule Name="ping_fw" Action="Allow" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="core" DestinationNetwork="InterfaceAddresses/lan_ip" Service="ping-inbound" />

<IPRuleFolder Name="lan_to_wan1">
<IPRule Name="drop_smb-all" Action="Drop" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan1" DestinationNetwork="all-nets" Service="smb-all" />
<IPRule Name="allow_ping-outbound" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan1" DestinationNetwork="all-nets" Service="ping-outbound" />
<IPRule Name="allow_ftp-passthrough" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan1" DestinationNetwork="all-nets" Service="ftp-passthrough" />
<IPRule Name="allow_standard" Action="NAT" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="wan1" DestinationNetwork="all-nets" Service="all_tcpudp" />
</IPRuleFolder>

<IPRuleFolder Name="lan_to_IPSec">
<IPRule Name="allow_all" Action="Allow" SourceInterface="lan" SourceNetwork="InterfaceAddresses/lannet" DestinationInterface="1(Sed-Sap)" DestinationNetwork="InterfaceAddresses/remote_net_1" Service="all_services" LogEnabled="True" LogSeverity="Debug" />
<IPRule Name="allow_all" Action="Allow" SourceInterface="1(Sed-Sap)" SourceNetwork="InterfaceAddresses/remote_net_1"
DestinationInterface="lan" DestinationNetwork="InterfaceAddresses/lannet" Service="all_services" LogEnabled="True" LogSeverity="Debug" />
</IPRuleFolder>

<IPSecTunnel LocalNetwork="InterfaceAddresses/lannet" RemoteNetwork="InterfaceAddresses/remote_net_1" RemoteEndpoint="InterfaceAddresses/IP_Sapernaya" IKEAlgorithms="High" IPSecAlgorithms="High" PSK="VPN_KEY_1" XAuth="RequiredForInbound" AddRouteToRemoteNet="True" IKEMode="Aggressive" PFS="PFS" NATTraversal="Off" KeepAlive="Manual" KeepAliveSourceIP="InterfaceAddresses/lan_ip" KeepAliveDestinationIP="InterfaceAddresses/Gate_1" Name="Sed-Sap" />

<Ethernet IP="InterfaceAddresses/wan1_ip" Network="InterfaceAddresses/wan1net" DefaultGateway="InterfaceAddresses/wan1_gw" Broadcast="a.b.c.43" EthernetDevice="wan1" Name="wan1" />
<EthernetDevice Name="wan1"

<Ethernet IP="InterfaceAddresses/lan_ip" Network="InterfaceAddresses/lannet" Broadcast="192.168.0.255" EthernetDevice="lan" Name="lan" />
<EthernetDevice Name="lan" EthernetDriver="IXP4NPEEthernetDriver" PCIBus="0" PCISlot="0" PCIPort="1" />

<AddressFolder Name="InterfaceAddresses">
<IP4Address Address="a.b.c.42" Name="wan1_ip" Comments="IPAddress of interface wan1" />
<IP4Address Address="a.b.c.40/30" Name="wan1net" Comments="The network on interface wan1" />
<IP4Address Address="a.b.c.41" Name="wan1_gw" Comments="Default gateway for interface wan1." />
<IP4Address Address="a.b.x.y" Name="wan1_dns1" Comments="Primary DNS server for interface wan1." />
<IP4Address Address="a.b.x.y" Name="wan1_dns2" Comments="Secondary DNS server for interface wan1." />
<IP4Address Address="192.168.0.21" Name="lan_ip" Comments="IPAddress of interface lan" />
<IP4Address Address="192.168.0.0/24" Name="lannet" Comments="The network on interface lan" />
<IP4Address Address="192.168.3.0/24" Name="remote_net_3" />
<IP4Address Address="192.168.1.0/24" Name="remote_net_1" />
<IP4Address Address="192.168.2.0/24" Name="remote_net_2" />
<IP4Address Address="d.e.f.238" Name="IP_Sapernaya" />
<IP4Address Address="192.168.1.21" Name="Gate_1" />
</AddressFolder>

<IKEAlgorithms Name="High" DES3Enabled="True" AESEnabled="True" BlowfishEnabled="True" MD5Enabled="True" SHA1Enabled="True" Comments="High security" />

<IPSecAlgorithms Name="High" DES3Enabled="True" AESEnabled="True" BlowfishEnabled="True" MD5Enabled="True" SHA1Enabled="True" Comments="High security" />

<IKEAlgorithms Name="Medium" DES3Enabled="True" AESEnabled="True" BlowfishEnabled="True" TwofishEnabled="True" CAST128Enabled="True" MD5Enabled="True" SHA1Enabled="True" Comments="High compatibility" />

<IPSecAlgorithms Name="Medium" DES3Enabled="True" AESEnabled="True" BlowfishEnabled="True" TwofishEnabled="True" CAST128Enabled="True" MD5Enabled="True" SHA1Enabled="True" Comments="High compatibility" />

<DNS DNSServer1="InterfaceAddresses/wan1_dns1" DNSServer2="InterfaceAddresses/wan1_dns2" />

<AddressFolder Name="Our_Remote_nets" />
<PSK Name="VPN_KEY_1" Type="ASCII" PSKAscii="xoxoxoxo" />
<AddressFolder Name="Local_servers">
</AddressFolder>
</SecurityGateway>

Отключите NAT Travesal на обоих устройствах.

Отключил. Всё равно не работает. Может в правилах проблема?

В логах DFL-800 присутствует следующее:

14:25:08 Warning RULE
6000051 Default_Rule TCP wan1
212.92.170.166
a.b.c.42 1170 (внешний IP DFL-800)
3389 ruleset_drop_packet
drop ipdatalen=28 tcphdrlen=28 syn=1 2008-07-15

14:25:05 Warning RULE
6000051 Default_Rule UDP lan
192.168.0.231
192.168.0.21 57581
53 ruleset_drop_packet
drop ipdatalen=52 udptotlen=52 2008-07-15

Эта строчка не относиться к IPSec так же как и верхняя. У вас две подсети 1 и 0 В логах дропы есть на эти подсети? Попробуйте немного уменьшить MTU на компьютерах за обоими DFL

Так а в чём тогда причина непрохождения трафика?

Спасибо за невольную подсказку. Исторически сложилось, что в первой подсети выдавалась маска 255.255.252.0 ( 192.168.0.0/22) . DFL-700 -е это вполне устраивало. С DFL-800 этот номер не прошел. Моя ошибка. Спасибо.