столкнулся со следующей проблемой:
есть 2 маршрутизатора DI-804HV. один в удаленном офисе, второй в центральном. сеть удаленного офиса - 172.16.2.0/24, в главном офисе 2 сети - 172.16.1.0/24 и 192.168.1.0/24. Есть выделенная линия, соединяющая офисы. внешний ip удаленного офиса - 10.10.10.2, центрального - 10.10.10.1. для более легкого понимания прилагаю схему:

необходимо настроить ipsec между 2-мя маршрутизаторами, для шифрования трафика между сетями центрального и удаленного офисов. если верить тому, что написано здесь: http://www.dlink.ru/ru/faq/92/510.html для этого нужно настроить 2 ipsec туннеля, что благополучно и было проделано. вот тут то и начались проблемы. 2 ipsec туннеля работать никак не хотели, подымается какой-то один (притом случайным образом), второй же висит в состоянии Establishing, по логу видно, что первую фазу они проходят на ура, а вот попыток установления второй фазы видно только одного туннеля, второго нет и в помине.
после продолжительных экспериментов было обнаружено, что при отключении Auto-reconnect 2 туннеля все-же удается поднять, но при условии что туннели устанавливаются по очереди (если одновременно подымаются 2 туннеля, ситуация аналогичная как в случае с автореконнектом). имеем БАГУ на лицо
может есть у кого-нибудь положительный опыт решения проблемы?
P.S. забыл указать версию прошивки:

Думаю, для IPSec задача не решаема. Сомневаюсь, что 2 IPsec канала должны работать одновременно. Это противоречит логике их работы.

Чтобы заработало, можно со стороны c двумя сетями указывать в настройках IPSec канала одну большую подсеть (/23), которая делится на две поменьше (/24). Например, 192.168.2.0/23 включает в себя 192.168.2.0/24 и 192.168.3.0/24.

Для PPTP-канала, вероятно, можно такое настроить.

Либо можно заменить DI-804 на DFL-210-е и настроить как угодно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

но ведь по линку написано что нужно именно 2 туннеля, и эт не дядя степа написал у себя в блоге, правда там с dfl-700


но у меня ведь сети 172.16.1.0/24 и 192.168.1.0/24, тут подходит только маска 0.0.0.0, но такой вариант не катит, пробовали.


pptp можно настроить только на wan интерфейсе, отдельно клиента нет. маршрутизаторы ведь не прямым шнурком соединены.


смысла покупать не вижу, проще купить циску 851-ю и забыть о проблемах, но в связи с кризисом начальство выделять $$ (даже такие маленькие) совсем не хочет.

вначале пробовали разрулить данную схему с cisco 2811 в центре, ничего совсем не получилось, нашелся на складе второй длинк, с ним кое-что получилось, но этого мало, жить и думать а поднимутся ли туннели по завершению лайфтаймов как-то не весело.

DI-8хх это бюджетное решение, в отличии от DFL, никак не может маршрутизировать в IPSec и не позвоняет указать две разные сети в одном тоннеле. ТОлько на DIR-130/330 можно задать несколько удаленных сетеф в одном тоннеле, а маршрутизировать в IPSec может только DFL серия.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

я так и понял, а что насчет 2-х разных туннелей?

и вообще, есть ли хоть какая-нибудь возможность разрулить мою ситуацию при помощи DI-804HV (на стороне удаленного офиса) + DI-804HV либо Cisco 2811 (на стороне центрального офиса)??

между двумя DI вы два тонеля не поднимите, потому что на lan DI может быть только одна сеть класа С и он не маршрутизировет в сторону lan.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

но ведь сейчас у меня подняты 2 туннеля между 2-мя DI-804HV. но туннели подымаются в ручную при сетевой активности (автореконнект выключен), да и работает эт немного нестабильно (бывает иногда туннели не подымаються)
на внутреннем интерфейсе маршрутизатора в сети главного офиса стоит ip 172.16.1.1, в этой же сети есть маршрутизатор, к которому подключена сеть 192.168.1.0/24. мне физически 2 сети к DI-804HV подключать не надо, мне надо шифровать пакеты с помощью ipsec между удаленным офисом и главным (в котором 2 разных подсети).
а что означает фраза:

а как же тогда статические роуты?

В отношении ipsec - никак.
Если хотите использовать 804, из двух сетей в центре делайте одну.
С маской, отличной от /24, вам придется экспериментировать.

я это понимаю, мне было интересно узнать что имел ввиду Sergey Vasiliev под фразой:


вопрос не по теме:
а как ты себе представляешь объединение 2-х сетей в одну, если они в разных подсетях класса А?
а теперь по теме:
если бы даже это было возможно, этот вариант всеравно неприемлем.

См. сообщение YuriAM, оно второе в теме.
Если неприемлем, то забудь про DI-804.
А в faq по твоей ссылке, как ты сам заметил, есть DFL.

ладно, тогда объясните мне, почему оно сейчас работает, но только при отключенном автореконнекте. как я уже писал выше, в ходе экспериментов было выяснено, что 2 туннеля не могут подняться только при одновременной их инициализации, а если по очереди, то все ок.
теперь объясняю на пальцах:
на машинке в сети удаленного офиса я запускаю пинги хостов в сети 172.16.1.0 и 192.168.1.0, включаю маршрутизатор, один туннель поднялся, второй зависает в esteblishing. выключаю маршрутизатор, и оставляю пинг только на 1 сеть (разницы нет какую), включаю маршрутизатор (пинг идет на 1 из подсетей), туннельчик поднялся, запускаю п инг на вторую подсеть, опля - 2 туннеля поднялись.

Выше несколько раз уже говорилось, что DI-804 не обеспечит работу в такой конфигурации. Просто потому, что не будет маршрутизации.
Если то, что ты описал, ты считаешь работающим вариантом, то я пас.

причем тут вообще маршрутизация?

попутный вопрос:
какой максимальный lifetime можно задать для ISAKMP/IPSEC Proposal?

ну дык что, никто ничего не подскажет?