office-2_WAN-Net и public_ISP_net что за объекты?

и нельзя указывать public_ISP_net/23

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Office-2_wan_net это сеть приватных ip 10.0.0.0/8 которые ISP раздает своим клиентам
public_ISP_net это публичная сеть в которой живут DNSы ISP - она написана цифирками и заменена после paste из пароноидальных соображений

Сейчас лог на DI-804HV выглядит следующим образом:
Tuesday July 21, 2009 22:52:17 Receive IKE M2(RESP) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:17 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Tuesday July 21, 2009 22:52:17 Send IKE M3(KEYINIT) : DI-804HV_wan_ip --> DFL-210_wan_ip
Tuesday July 21, 2009 22:52:17 Receive IKE M4(KEYRESP) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:17 Send IKE M5(IDINIT) : DI-804HV_wan_ip --> DFL-210_wan_ip
Tuesday July 21, 2009 22:52:17 Receive IKE INFO : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:17 Send IKE (INFO) : delete DI-804HV_wan_ip -> DFL-210_wan_ip phase 1
Tuesday July 21, 2009 22:52:17 IKE phase1 (ISAKMP SA) remove : DI-804HV_wan_ip <-> DFL-210_wan_ip
Tuesday July 21, 2009 22:52:21 Receive IKE M1(INIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:21 Try to match with ENC:None AUTH:PSK HASH:MD5 Group:Group2
Tuesday July 21, 2009 22:52:21 Try to match with ENC:None AUTH:PSK HASH:SHA1 Group:Group2
Tuesday July 21, 2009 22:52:21 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Tuesday July 21, 2009 22:52:21 Send IKE M2(RESP) : DI-804HV_wan_ip --> DFL-210_wan_ip
Tuesday July 21, 2009 22:52:21 Receive IKE M3(KEYINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:21 Send IKE M4(KEYRESP) : DI-804HV_wan_ip --> DFL-210_wan_ip
Tuesday July 21, 2009 22:52:22 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:22 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:23 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:25 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:27 IKED re-TX : KEYRESP to DFL-210_wan_ip
Tuesday July 21, 2009 22:52:27 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:29 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:32 IKED re-TX : KEYRESP to DFL-210_wan_ip
Tuesday July 21, 2009 22:52:32 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:37 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:42 IKED re-TX : KEYRESP to DFL-210_wan_ip
Tuesday July 21, 2009 22:52:42 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:52 IKED re-TX : KEYRESP to DFL-210_wan_ip
Tuesday July 21, 2009 22:52:52 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip
Tuesday July 21, 2009 22:52:52 Receive IKE M5(IDINIT) : DFL-210_wan_ip --> DI-804HV_wan_ip


оба маршрутизатора друг друга пингуют

вот тут поясните, вы хотите что бы Интернет трафик точки 2 шел внутри тунеля или нет? Т. к. если внутри, то, как мне кажется, для DI-804HV должно быть примерно так Remote Subnet: 0.0.0.0-255.255.255.255 и соответственно vice versa на DFL-210.
а тунель, построенный в указанном вами примере, только для соедиения LAN1 и LAN2. Если не прав - поправте.

Задача номер один - это об'единение локальных сетей. Под это пока и заточена конфигурация девайсов. Но пока туннель не работает.

а что написано у DI-804HV в Status\VPN status при "поднятом" тунеле?
А на ПК сетей шлюзы правильно прописаны?
У меня по примеру (DI-804HV Firmware Version: V1.42) тунель организовался сразу - правда с Zyxel.

Туннель не подымается. Статус-устанавливается.

Попробуйте:
1. включить параметр Perfect Forward Secrecy (PFS) (DH2) на DFL-210 (на DI-804HV в моей версии такого параметра нет, но на DFL-210 такое думаю есть). Мне это пришлось включить на Zyxel.
2. на DI-804HV в моей версии Pre-Shared Key больше 20 сим. не воспринимался - начните с 10.
А вообще, в логе DI-804HV довольно хорошо видны проблемы при установлении тунеля (с DFL-210 не работал).
Вот кусок лога DI-804HV при нормальном поднятии тунеля (часть не существенной информации убрана)
Receive IKE M1(INIT) : 111.222.111.1 --> 111.222.111.2
Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
*
IKE Phase1 (ISAKMP SA) established : 111.222.111.2 <-> 111.222.111.1
*
Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group2
*
IKE Phase2 (IPSEC SA) established : [192.168.1.0|111.222.111.1]<->[111.222.111.2|192.168.2.0]
Глянте свой лог и должно стать ясно на какой фазе (IKE Phase1/IKE Phase2 ) у вас ошибка/не согласование.

Вопрос к сотрудникам D-Link:
Практически или теоретически возможна ли организация IPSEC туннеля между сетями с выходом в Интернет через Офис №1 на DFL-210 (DFL-800) и DI-804HV ?
Вводные: домашняя сеть некоего оператора.
В Офис №1 стоит DFL-210 (DFL-800). У него статический приватный ip-адрес 10.x1.y1.z1 и есть публичный, который он получает от провайдера по PPoE.
В точке #2 стоит DI-804HV. У него статический приватный IP 10.x2.y2.z2.
Задача классическая - организовать VPN поверх внутренней IP сети провайдера для взаимного доступа к ресурсам LAN1 в LAN2, плюс из точки 2 в интернет надо ходить через точку 1.
А) – через другой роутер в сети Офис №1
Б) - через 2-ое WAN соединение (другой WAN port) на роутере DFL-210 (DFL-800) в Офис 1 c public IP.

romaq, спасибо огромное!
Помог вариант:
"1. включить параметр Perfect Forward Secrecy (PFS) (DH2) на DFL-210 (на DI-804HV в моей версии такого параметра нет, но на DFL-210 такое думаю есть). Мне это пришлось включить на Zyxel."

Включил на DFL-210 и туннель поднялся!

Теперь осталось разобраться с маршрутизацией.
Не совсем пока понял как сделать так, чтобы удаленные клиенты подключаясь через инет к pptp-серверу на DFL-210 могли ходить в LAN2 расположенную за IPSec-туннелем на DI-804HV...Как проанонсировать маршрут к LAN2 в момент подключения клиента к pptp-серверу, чтобы клиентская машина поместила его в свою таблицу маршрутизации?

e.art рад был помочь.
А вот по вопросам хождения в инет через тунель хотелось бы услышать советы D-Link или общественности, кто сталкивался с подобным.[/b]

В теории можно указать в remote net/subnet 0.0.0.0 0.0.0.0 но устройство для этого не предназначено и созданный маршрут будет нерабочим.


A)Только 2 DFL
Б) Если во всех 3х точках установлены DFL, то можно устройства настроить так, что при топологии A---B----C , трафик из точки C будет ходить в точку A через точку B. Такая топология называется hub and spoke

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

а если прописать пару маршрутов, типа 1.0.0.0/1 и 128.0.0.0/1?
как только потом прогнать трафик через NAT на DFL?
вроде сделал еще один NAT_pool и правило для него прописал, но всё равно не работает...