Firmware Version: V1.51b10, Fri, Mar 27 2009 -- DI-804HV
Firmware Version: 2.20.01.05-4843 Feb 8 2008 -- DFL-210
Все настроил согласно пошаговой инструкции:
http://www.dlink.ru/ru/faq/92/520.html

Туннель не поднимается ((((

DI в логах пишет:
Sunday July 12, 2009 21:31:41 Send IKE A1(AINIT) : 10.x1.y1.z1
--> 10.x2.y2.z2
Sunday July 12, 2009 21:31:46 IKED re-TX : AINIT to 10.x2.y2.z2
Sunday July 12, 2009 21:31:51 IKED re-TX : AINIT to 10.x2.y2.z2
Sunday July 12, 2009 21:32:01 IKED re-TX : AINIT to 10.x2.y2.z2
Sunday July 12, 2009 21:32:11 IKED re-TX : AINIT to 10.x2.y2.z2
Sunday July 12, 2009 21:32:31 IKED re-TX : AINIT to 10.x2.y2.z2
Sunday July 12, 2009 21:32:32 IKE phase1 (ISAKMP SA) remove : 10.x1.y1.z1<-> 10.x2.y2.z2


DFL в логах пишет:
2009-07-15
22:23:09 Warning RULE
6000051 Default_Access_Rule UDP wan_phys
10.x1.y1.z1
10.x2.y2.z2 500
500 ruleset_drop_packet
drop
ipdatalen=264 udptotlen=264


Почему сбрасываются пакеты?

Что-то с маршрутизацией не то. Потому и срабатывает Default_Access_Rule. Во-первых, советую обновить прошивку на более позднюю. Во-вторых, проверьте, стоит ли галочка IPsec Before Rules в настройках Interfaces-IPsec-Advanced Settings. Ну и неплохо сделать скриншот таблицы main в разделе Routing-Routing Tables

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Default access rule срабатывает, когда нет разрешающего правила.

500 порт - это IKE, если не ошибаюсь. Проверяйте именно галку IPsec before rules.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Галка была установлена...
[/img]

Когда нет разрешающего правила, срабатывает Default_Rule.

Вот, что сказано в мануале про Default access rule:

Другими словами, если убрать маршрут до туннеля (или Endpoint) со стороны DFL, то пакет непонятно куда должен идти, а потому дропается по Default access rule в момент прихода такого пакета НА DFL.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо, Проверю маршруты и сети...
А как взбодрить туннель со стороны DFL?
На DI кнопка reconnect есть, а на DFL?

Кнопки нет, надо запустить, скажем, пинг до удаленной LAN подсети, которая за другим концом туннеля. Появление такого пакета станет триггером для инициирования туннеля со стороны DFL.
А если туннель установлен, то можно лишь удалить SA.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Подправил маршруты, стало интереснее:
2009-07-16
17:30:07 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x4d9ba36b, AH=0xf2705b39, IPComp=0x93c0816"
2009-07-16
17:30:07 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Payload lengths do not match" local_peer="127.0.0.1 ID No Id" remote_peer="дальний_wan_ip ID No Id" initiator_spi="ESP=0x4d9ba36b, AH=0xf2705b39, IPComp=0x93c08168"
2009-07-16
17:30:07 Warning IPSEC
1802715


event_on_ike_sa
side=Initiator msg="failed" int_severity=6
2009-07-16
17:30:07 Warning IPSEC
1800106


ike_invalid_payload
local_ip=127.0.0.1 remote_ip=дальний_wan_ip cookies=4d9ba36bf2705b3993c08168d337cc23 reason="Packet does not contain enough data for next payload, but next payload type is not zero"

Напрягает "local_ip=127.0.0.1" наддо наверное чтобы был ближний_wan_ip?

e.art, уберите все эти ID из настроек IPSec с двух сторон. Или их там и так нету? на DFL точно Auto стоит в поле Local ID?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Но каким образом можно убрать ID? Local ID стоял в Auto, но если указать IP, то ситуация не меняется (((

Local ID лучше пусть и стоит в Auto. В остальном идей больше нет. Если только саппорт конфиг просмотрит...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Дляначала, приведите вашу топологию и настройки обеих устройств.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Топология сети следующая.
Существует домашняя сеть некоего оператора.
В точке #1 стоит DFL-210. У него есть статический приватный ip-адрес 10.x1.y1.z1 и публичный, который он получает от провайдера по PPTP. В LAN1 ip раздаются по DHCP сеть 192.168.0.0/24. Плюс поднят PPTP-сервер для организации VPN поверх интернет. Тариф безлимитный.
В точке #2 стоит DI-804HV. У него статический приватный IP 10.x2.y2.z2. В LAN2 (пока) статические адреса из сети 192.168.2.0/24
Задача классическая - организовать VPN поверх внутренней IP сети провайдера для взаимного доступа к ресурсам из LAN1 в LAN2 и наоборот, плюс из точки 2 в интернет надо ходить через точку 1.

Какие конкретно настройки интересуют?

Приведите таблицу маршрутизации с DFL

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Main routing table:

Route wan_phys public_ISP_net/23 wan_gw 90 No

Route Tunnel_office-2 office-2_LAN_net 90 No Direct route for network office-2_LAN_net over interface Tunnel_to_office-2.

Route dmz dmznet 100 No Direct route for network dmznet over interface dmz.

Route lan lannet 100 No Direct route for network lannet over interface lan.

Route wan_phys wannet 100 No Direct route for network wannet over interface wan_phys.

Route wan_phys all-nets wan_gw 100 No Default route over interface wan_phys.

Route ISP_vpn all-nets 90 No Direct route for network all-nets over interface ISP_vpn.

Route wan_phys office-2_WAN-Net wan_gw wan_ip 15 No