День добрый!
Помогите настроить такую схему:
Центральный офис DFL-700 FW1.21 к нему по VPN IPSEC цепляется ряд офисов,в них стоят DI-804HV FW1.40
для начала основываясь на FAQ dfl100-di804 http://www.dlink.ru/technical/faq_vpn_6.php
попытался настроить стенд
dfl700(192.168.2.1-10.0.0.1) -ethernet- di804hv(10.0.0.2-192.168.0.1)
настройки dfl700
1. local net 192.168.2.0/24
2. PSK - Pre-Shared Key
3. LAN-to-LAN tunnel (Remote Net:192.168.0.0;Remote Gateway:10.0.0.2)
Advanced
4. IKE Proposal List #1 3DES MD5 0 28800
5. IPsec Proposal List #1 3DES MD5 0 3600
Остальное по умолчанию

настройки di804hv
1. VPN Enable
2. Max. number of tunnels 1
3. Tunnel Name dfl700 ike
4. Local Subnet 192.168.0.0
5. Local Netmask 255.255.255.0
6. Remote Subnet 192.168.2.0
7. Remote Netmask 255.255.255.0
8. Remote Gateway 10.0.0.1
9. Preshare Key
IKE Proposal index
Group 1 3DES MD5 86400 SEC
IPSec Proposal index
Group 1 ESP 3DES MD5 28800 SEC
Все остальное по умолчанию

Просьба сильно не пинать
Что еще нужно чтоб поднять VPN???
Ну и советы особенности работы???

Ремоте гейтвей- надо указывать внешние адреса обоих контор, а не 10.0.0.х. для конторы 1 указывать адрес конторы 2 и наоборот.

И по моему надо использовать Agressive mode

это стенд на столе все разложено (1-dfl700; 8-di804(8)hv)
внешние адреса и есть 10.0.0.x
важно ли чтоб lifetime были одинаковые (и что это вообще такое?)

Важно, это время жизни сессии, после которой она будет переустанавливаться.

_________________
С уважением, Дмитрий Письменов

поставил одинаковые
связи нет

Что в логе

_________________
С уважением, Дмитрий Письменов

Если можно то в icq
по окончании настроек напишу FAQ (если надо)

Продолжение темы мож кто из форума подмогнет
Настройки изменились на следующие:

пк(192.168.10.2)-di804(192.168.10.1-10.0.0.2)- ethernet - dfl700(10.0.0.1-192.168.11.1)- пк (192.168.11.2)



DLINK DFL700 : firmware DFL-700-1.21.00-upgrade.img



ip lan 192.168.11.1 mask 255.255.255.0

ip wan 10.0.0.1 mask 255.0.0.0 gateway 10.0.0.2

Настройки vpn

Net:192.168.11.0/24

PSK - Pre-Shared Key 13131313

LAN-to-LAN tunnel

Remote Net:192.168.10.0

Remote Gateway:10.0.0.2

Advanced:

Limit MTU:1424

IKE Mode: Main mode IKE

IKE DH Group 1-modp 768bit

Nat Traversal: Disabled.
Пробовал(On if supported and needed (NAT detected between gateways))

Keepalives: No keepalives.

IKE Proposal List: 3des md5 0 28800

IPsec Proposal List 3des md5 0 3600



Остальное по умолчанию



DLINK DI804(8)HV: firmware 20041006_804HV_V140b04.BIN



LAN Settings

IP Address 192.168.10.1

Subnet Mask 255.255.255.0



WAN Settings

Static IP Address 10.0.0.2

Subnet Mask 255.0.0.0

ISP Gateway Address 10.0.0.1

MTU 1500



VPN Settings



VPN Enable

Max. number of tunnels 1

ID Tunnel Name Method

1 dfl700 IKE





Local Subnet 192.168.10.0

Local Netmask 255.255.255.0

Remote Subnet 192.168.11.0

Remote Netmask 255.255.255.0

Remote Gateway 10.0.0.1

Preshare Key 13131313



IKE Proposal index

group1 3des md5 28800sec



IPSec Proposal index

group1 esp 3des md5 3600sec



все остальное по умолчанию



Вот логи коннекта:

Thursday August 12, 2004 00:03:03 Send IKE M1(INIT) : 10.0.0.2 --> 10.0.0.1
Thursday August 12, 2004 00:03:03 Receive IKE M2(RESP) : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:03 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group1
Thursday August 12, 2004 00:03:03 Send IKE M3(KEYINIT) : 10.0.0.2 --> 10.0.0.1
Thursday August 12, 2004 00:03:03 Receive IKE M4(KEYRESP) : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:03 Send IKE M5(IDINIT) : 10.0.0.2 --> 10.0.0.1
Thursday August 12, 2004 00:03:03 Receive IKE M6(IDRESP) : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:03 IKE Phase1 (ISAKMP SA) established : 10.0.0.1 <-> 10.0.0.2
Thursday August 12, 2004 00:03:03 Send IKE Q1(QINIT) : 192.168.10.0 --> 192.168.11.0
Thursday August 12, 2004 00:03:03 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:09 IKED re-TX : QINIT
Thursday August 12, 2004 00:03:09 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:14 IKED re-TX : QINIT
Thursday August 12, 2004 00:03:14 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:24 IKED re-TX : QINIT
Thursday August 12, 2004 00:03:24 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:34 IKED re-TX : QINIT
Thursday August 12, 2004 00:03:34 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:54 IKED re-TX : QINIT
Thursday August 12, 2004 00:03:54 Receive IKE INFO : 10.0.0.1 --> 10.0.0.2
Thursday August 12, 2004 00:03:54 Send IKE (INFO) : delete [192.168.10.0|10.0.0.2]-->[10.0.0.1|192.168.11.0] phase 2
Thursday August 12, 2004 00:03:54 IKE phase2 (IPSec SA) remove : 192.168.10.0 <-> 192.168.11.0
Thursday August 12, 2004 00:03:54 inbound SPI = 0x2000010, outbound SPI = 0x0

Соединения нет!

К сведению вот такая схема
пк(192.168.10.2)-di804(192.168.10.1-10.0.0.2)- ethernet - di804(10.0.0.1-192.168.11.1)- пк (192.168.11.2)
у меня работает!

Какие еще нужны настройки для dfl700???

вопрос решен!

http://support.dlink.com/SupportFAQ/def ... =DFL%2D700

Как всегда проблема была в несогласованности параметров ВПН...

_________________
С уважением -- Александр Шебаронин.

данные устройства ОЧЕНЬ разные в специфике настройки VPN
Вас про специфику и спрашивали, не зря все настройки приведены
Если проверите настройки идентичны.
А вот особенности dfl700 приходиться по крупицам выискивать на западных! сайтах,
а нужно было быстро запустить первый комплект оборудования в работу

спасибо что все-таки сказали свое ВЕСКОЕ слово !

Гхмм... Извините, а ЧЕМ разные? По разному называются параметры? Нет, одинаково. Или по разному конфигурируются? Это да, разные ж устройства.

_________________
С уважением -- Александр Шебаронин.

Чудеса!