Изначальную задачу ранее писал. Понял, что на существующем оборудовании невыполнима. Произвёл очередную замену устройств.
Теперь 3 дня пытаюсь настроить сабж. Дабы не расписывать опять всё заново - начну с локальной задачи.

Необходимо поднять VPN между DI-804HV (WAN IP 192.168.25.241, LAN IP 192.168.0.1) и WinXP SP II (IP 192.168.19.132). DI-804HV и Win XP SPII находятся в одной локальной, районной сети, но в разных её сегментах. Соответственно локальная сеть воткнута в ван порт роутера. Сначала делал всё по факу (http://www.dlink.ru/technical/faq_vpn_19.php), но со своими парметрами, несколько раз перезабивал, перепроверял - ответ один - когда WinXP SPII пингует компы или роутер по лановским IP - согласование идёт, а пинг не проходит, что выглядит вот так:
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
Согласование используемого уровня безопасности IP
Далее (по памяти) статистика по посланным пакетам - послано 4 пакета, получено 0, ошибок 4 100%

В логах на DI-804HV в это время приблизительно следующее (дата не синхронизирована):
23 июня 2004 г. 2:05:05 Receive IKE Q1(QINIT) : [192.168.19.132]-->[192.168.25.241]
23 июня 2004 г. 2:05:05 SPD Error : not found [192.168.19.132]<->[192.168.0.0] from peer IP address 192.168.19.132
23 июня 2004 г. 2:05:05 Receive IKE Q1(QINIT) : [192.168.19.132]-->[192.168.25.241]
23 июня 2004 г. 2:05:05 SPD Error : not found [192.168.19.132]<->[192.168.0.0] from peer IP address 192.168.19.132
23 июня 2004 г. 2:05:07 Receive IKE Q1(QINIT) : [192.168.19.132]-->[192.168.25.241]
23 июня 2004 г. 2:05:07 SPD Error : not found [192.168.19.132]<->[192.168.0.0] from peer IP address 192.168.19.132
23 июня 2004 г. 2:05:11 Receive IKE Q1(QINIT) : [192.168.19.132]-->[192.168.25.241]
23 июня 2004 г. 2:05:11 SPD Error : not found [192.168.19.132]<->[192.168.0.0] from peer IP address 192.168.19.132
23 июня 2004 г. 2:05:16 Receive IKE INFO : 192.168.19.132 --> 192.168.25.241
23 июня 2004 г. 2:05:16 Send IKE (INFO) : delete 192.168.25.241 -> 192.168.19.132 phase 1
23 июня 2004 г. 2:05:16 IKE phase1 (ISAKMP SA) remove : 192.168.25.241 <-> 192.168.19.132
23 июня 2004 г. 2:05:26 Receive IKE M1(INIT) : 192.168.19.132 --> 192.168.25.241
23 июня 2004 г. 2:05:26 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
23 июня 2004 г. 2:05:26 Send IKE M2(RESP) : 192.168.25.241 --> 192.168.19.132
23 июня 2004 г. 2:05:26 Receive IKE M3(KEYINIT) : 192.168.19.132 --> 192.168.25.241
23 июня 2004 г. 2:05:26 Send IKE M4(KEYRESP) : 192.168.25.241 --> 192.168.19.132
23 июня 2004 г. 2:05:26 Receive IKE M5(IDINIT) : 192.168.19.132 --> 192.168.25.241
23 июня 2004 г. 2:05:26 Send IKE M6(IDRESP) : 192.168.25.241 --> 192.168.19.132
23 июня 2004 г. 2:05:26 IKE Phase1 (ISAKMP SA) established : 192.168.25.241 <-> 192.168.19.132

Далее решил ещё упростить задачу и собрал у себя на столе пример описанный в факе, т.е. Своему компьютеру выдал 192,168,1,3, для DI-804HV выдал wan 192,168,1,1, lan 192.168.3.1, а для DSL-500T, воткнутому в лан назначил 192,168,3,183. Казалось бы всё в точности как в факе (все ip, все маски, шлюзы, ключи и т.д.), а результат оказался в точности таким же как и выше... Я уже начал думать что в консерватории что-нибудь изменить... Упрощать и делить задачу вроде больше некуда...

Самое обидное то, что если в первом случае я ещё мог допустим где-нибудь ошибиться в масках или ещё где-нибудь, то во втором случае всё сделано в точности с факом, мне просто добавить больше нечего - все настройки в приведённой наверху ссылке.

Руки опускаются. Обновил прошивку на роутере до V1.40b04, получил в настройках впн ещё и неописанные в факе IKE Keep Alive, а так же Extended Authentication. Их как-то нужно использовать в моём случае? Если да, то как?

Вариантов происходящего как я понимаю два - или в WinXP SP II что-то не так, или я что-то не понимаю принципиально. Про первый - так он работает как ни странно без сбоев уже не первый год (с сервиспаком пару месяцев), что касается второго - то тут-то и прошу помощи.

Подскажите пожалуйста, с чего распутывать всё это? Перечитал фак, форум, русскую и английскую доку к девайсу, а ведь это лишь первая часть поставленной задачи. В конечном итоге я должен в идеале по последнему факовскому варианту по VPN оказаться в лане и выйти через адсльный модем в инет.

Добавлю, если это имеет значение - на роутере и в лане и в ване статик ip, DHCP сервер пробовал и включать и выключать. Из остальных настроек роутера менял только пароль на веб интерфейс, остальное девственно по умолчанию.

P.S. Возможно кто-то опять скажет, что цели и задачи неясны. Задача сначала - поднять VPN между WinXP SP II и DI-804HV. Если какие-то из введённых мною настроек неясны - готов ответить.

может не заметил в вашем описании - но на win xp sp2 файрвол Вы настроили для IPSec?
в любом случае, скорее всего Вам не сюда, а в поддержку Microsoft.

_________________
С уважением, Карагезов Владислав

может не заметил в вашем описании - но на win xp sp2 файрвол Вы настроили для IPSec?
+++ В качестве фаервола в win xp sp2 стоит аутпост, который на момент данных действий был в режиме бездействия, да и приблуды от второго сервиспака орали мол компьютер незащищён. Я так понимаю больше ничего настраивать не надо?

в любом случае, скорее всего Вам не сюда, а в поддержку Microsoft.
+++ А есть ли какой-нибудь способ это проверить? Или теперь полюбому только разбираться с версиями виндовса?

+++ И ещё вопрос раз сам XP не хочет работать клиентом - если я на него поставлю внешнего VPN клиента - должно заработать?

+++ Какого VPN клиента вы бы рекомендовали?

+++ Спасибо.

+++ P.S. А ещё нашёл вот это http://www.dlink.ru/phorum/viewtopic.ph ... ht=vpn+win вроде всё как у меня ;-( интересно как люди разобрались... Про точность настроек - я не один делал втроём проверяли... где-то ошибку допускаем, вот где?

нужно смотреть логи на Windows. Может проблема в настройках ipsec, можкт проблема во встроенном в SP2 firewall - я не знаю.
Что касается VPN клеинтов - на данный момент мы не поставляем в Россию такой продукт.

_________________
С уважением, Карагезов Владислав

+++ P.S. А ещё нашёл вот это http://www.dlink.ru/phorum/viewtopic.ph ... ht=vpn+win вроде всё как у меня ;-( интересно как люди разобрались... Про точность настроек - я не один делал втроём проверяли... где-то ошибку допускаем, вот где?[/quote]

нужно смотреть логи на Windows.
+++ ок - сегодня буду изучать...

Может проблема в настройках ipsec
+++ на стороне клиента, или сервера?

можкт проблема во встроенном в SP2 firewall - я не знаю.
+++ фаервол ещё раз проверю...

Что касается VPN клеинтов - на данный момент мы не поставляем в Россию такой продукт.
+++ я имел ввиду Ваши рекомендации относительно софтового клиента, который легко настроить в паре с сервером на базе DI-804HV

по настройке - проверить с 2 сторон. параметры должны быть одтнаковыми.
что касается клиентсокго ПО - не могу что-то рекомендовать, т.к. не пользовался подобными продуктами. Просто сделать на Linux Но это не ваш случай, увы!

_________________
С уважением, Карагезов Владислав

да уж чтоно не мой

ещё два вопроса получилось:

1. Рылся в виндовом хэлпе - цитирую: Туннелирование IPSec
Туннельный режим IPSEC в первую очередь используется для обеспечения взаимодействия с другими маршрутизаторами, шлюзами или конечными системами, которые не поддерживают туннелирование L2TP/IPSec или PPTP для виртуальных частных сетей. Туннельный режим IPSec поддерживается как дополнительное средство только при туннелировании от шлюза к шлюзу и для определенных конфигураций сервер-сервер или сервер-шлюз. Для сценариев удаленного клиентского доступа к виртуальным частным сетям туннельный режим IPSec не поддерживается. Для удаленного клиентского доступа к виртуальной частной сети следует использовать туннели L2TP/IPSec или PPTP.

Дайте, пожалуйста, комментарии этому, не означает ли это то, что в режиме клиента винды в принципе не будут работать в IPSec?

2. Если помните мою конечную задачу - дать человеку из вана досутп в инет на адсльный модем, висящий на лан порте роутера. А учитывая то, что у меня теперь не 704, а 804 с фаерволом и виртуал сервером одновременно - я теперь без впн это могу организовать? Вот здесь http://www.dlink.ru/technical/faq_internet_30.php та же задача, или нет? Просто когда был 704 стало понятно, что его средствами без впн этого не сделать, а когда появился 804 в нём уже фаервол есть...