Здравствуйте!
Данная тема не раз обсуждалась... и все же, помогите, пожалуйста, разобраться в настройках, что я не так делаю и почему не работает.
Схема подключения следующая:
Local net A - DFL-800 - Internet - Windows 2003 - Local Net B.
Local net A: 192.168.10.0/24
Внутренний IP на DFL: 192.168.10.1
Внешний IP на DFL: 85.236.x.20
Внешний IP на Win2003: 85.236.x.120
Внутренний IP на Win2003: 192.168.100.1
Local net B: 192.168.100.0/24

DFL-800 настроил вот по этой инструкции: http://ftp.dlink.ru/pub/FireWall/_rus_% ... tunnel.pdf
Windows 2003 вот по этой: http://www.dlink.ru/ru/faq/92/516.html

После команды: ping 192.168.100.1 из Local net A в логах DFL появляется сообщения о поднятии и установлении тоннеля IPSec. Все без проблем и пинг проходит. Но в Local net B есть и другие компьютеры, до которых пинг не доходит...
Так же при попытке пинга из Local net B, хотябы до 192.168.10.1 вообще никакого ответа.

На Windows 2003 поднят домен и поднята Маршрутизация и удаленный доступ....

При проверке IPSec на Windows 2003:
netdiag /test:ipsec /debug выдает следующее:
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information

netsh ipsec dynamic show all появляются вот такие ошибки:
ошибка IPSec[06137] : Сопоставления безопасности основного режима IPSec недоступны.

ошибка IPSec[06138] : Сопоставления безопасности быстрого режима IPSec недоступны.

Если сделать пинг с DFL-800 до 192.168.100.1, в логах на DFL-800 IPSec начинает работать (вродебы):
2009-07-23
11:26:07 Info CONN
600001 IPsecBeforeRules ESP wan1
core 85.236.x.120
85.236.x.20
conn_open

conn=open connsrcid=0 conndestid=0
2009-07-23
11:26:06 Info IPSEC
1803021


ipsec_sa_statistics

done=2 success=2 failed=0
2009-07-23
11:26:06 Info IPSEC
1802046


ipsec_sa_lifetime

sec=3600
2009-07-23
11:26:06 Info IPSEC
1802043


ipsec_sa_informal

spiin="31fd5aaf " spiout="fa5d71fa " alg=3des-cbc keysize= mac=hmac-md5-96
2009-07-23
11:26:06 Info IPSEC
1802058


ipsec_sa_informal

local_id="192.168.10.0/24 any" remote_id="192.168.100.0/24 any"
2009-07-23
11:26:06 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="85.236.x.20 ID 85.236.x.20" remote_peer="85.236.x.120 ID 85.236.x.120" initiator_spi="8e4ecaff 6eabbe07" responder_spi="ed7d622e 83c9b989" int_severity=6
2009-07-23
11:26:06 Info IPSEC
1802040


ipsec_sa_negotiation_completed
ipsec_sa_enabled
sa=Initiator info="tunnel" local_peer="85.236.x.20 ID 85.236.x.20" remote_peer="85.236.x.120 ID 85.236.x.120" spi_in="ESP 31fd5aaf" spi_out="ESP fa5d71fa"
2009-07-23
11:26:06 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="85.236.x.20 ID 85.236.x.20" remote_peer="85.236.x.120 ID 85.236.x.120" initiator_spi="8e4ecaff 6eabbe07" responder_spi="ed7d622e 83c9b989" int_severity=6
2009-07-23
11:26:06 Info IPSEC
1802024


ike_sa_negotiation_completed

options=Initiator mode="Main Mode" auth="Pre-shared keys" encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2009-07-23
11:26:06 Info CONN
600001 IPsecBeforeRules UDP wan1
core 85.236.x.120
85.236.x.20 500
500 conn_open

conn=open


После чего ошибка на команду: netsh ipsec dynamic show all больше не выдается. Т.е. cопоставления безопасности основного режима IPSec
прошло успешно.

netdiag /test:ipsec /debug - IP Security test . . . . . . . . . : Skipped
И пинг с Windows 2003 до 192.168.10.1 не идут (Превышен интервал ожидания...)

Что не так, куда копать...? Подскажите пожалуйста.
Прошивка на DFL-800 2.25.01.28-12181

И тишина...
Я смотрю я тут не первый подобного рода вопрос задаю: viewtopic.php?t=62089
Который точно так же проигнорировали...

1. Для доступа в подсеть, для всех устройств подсети должен быть установлен основной шлюз.
В вашем случае ДФЛ и Win2k3.
Все устройства что имеют сторонний шлюз - пойдут в сад - но не петь, а слушать.

2. "из Local net B, хотябы до 192.168.10.1" достигается настройкой правил на ДФЛ

3. телепаты в отпуске - нет скринов настроек - нет помощи

Я вместо скринов настрое привел ссылки, по каким статьям настраивал... Но, согласен, мог где-нибудь и ошибиться...

DFL-800:
lannet 192.168.10.0/24
Win2003_IPSec-remotenet 192.168.100.0/24
Win2003-remotegw 85.236.x.120

На закладке Authentication выбран Pre-shared Key: 0p9o8i7u
Правила:
Таблица маршрутизации:
wan1net 85.236.x.20/29
wan1_gw 85.236.x.19


Windows2003:
Установлено 2 сетевых адаптера.
Наружный адаптер:
IP 85.236.x.120
Mask 255.255.255.252
Gateway 85.236.162.119
Открыл mmc - добавил оснастку "Политика Default Domain Policy" - в "Политика безопасности IP" создал новую политику, в которой добавил два правила:


В закладке протокол выбран "Любой".
Параметры туннеля:

В закладке тип подключения выбрано: "Все сетевые подключения".
Создано новое действие фильтра "WDAction": Метод безопасности - Согласовать безопасность - добавлена настраиваемая безопасность:

Методы проверки подлинности:

Для второго правила, от DFL до Win2003 соответственно конечная точка 85.236.x.120. Подсети:

Все остальное тоже самое.
Настроена служба "машрутизации и удаленного доступа" для доступа пользователей внутренней сети 192.168.100.0/24 в Интернет.

Добавлен статический маршрут:

Где "Подключение по локальной сети" - это внешний сетевой адаптер.

Почему не хочет работать? Где ошибся?

Во первых, настройки для сервера вы можете посмотреть тут http://www.dlink.ru/ru/faq/92/516.html, а во вторых, вам нужна маршрутизация в тоннель а не NAT.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, именно по этой статье я и настраивал сервер. Об этом я написал в самом начале.


А можно по подробней, как в данном случае можно настроить маршруизацию на сервере? Чтобы пользователи подсети 192.168.100.0/24 могли выходить в Интернет, а при обращении к подсети 192.168.10.0/24 ходили туда через IPSec?

У самого, что то никак не получается настроить... Пробовал без NAT, добавлял статический маршрут:


Пытался настроить вот по этой инструкции: http://support.microsoft.com/kb/816514
Не хочет работать...

Что не так? Подскажите, плизз...

Сообщение переползло на вторую страницу...

Люди! Не уж то никто не сталкивался с подобной проблемой...?

Это не форму посвещенный продуктам MS, с этим вопросом я рекомендую обратиться в техническую подрежку Microsoft. Все что касается настройки DFL, у вас выполненно корректно.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Понятно, значит специалистов нет..., кто сталкивался с подобными проблемами! Тоесть D-Link оборудование работает только с себе подобным оборудованием... Все остальные проблемы, у кого как получиться решить... (Ваш голос "отстой" принят!)

Вы хоть раз видели справочник по настройке 2k3, точнее его размер?
Страниц 600 не меньше - только о настройках сети, вы предлагаете выложить вам тут краткий курс ?
или как?

Вам правильно сказали - у вас неверная настройка 2к3,
и не в плане поднятия тоннеля, а в плане маршрутизации и основных шлюзов.
Распечатайте таблицы маршрутов обоих сетей на концах тоннелей,
представте себя пакетом и попробуйте пробежаться... сильно удивитесь думаю.

Нет, естественно не видел...
"Краткий курс выложить" ... насмешили, от души поржал
Если вы конечно читали сообщения выше, а не только два последних, то должны были видеть, что я привел свои настройки и статьи, по которым пытался настроить...


Это уже ясно, что проблема в 2к3, т.к. туннель работает только в одну сторону (DFL - to - Win2k3), а вот в обратную сторону не хочет. И я спрашивал решения проблемы, а не посылания .... "в сад"...
В соответствующей статье D-Linkа (повторяться не буду, все изложено выше) описано как организовать IPSec туннель между DFL и Windows... Раз есть статья, значит специалисты D-Link проделывали данную процедуру и, возможно, сталкивались с каким то проблемами. О решении которых хотелось бы узнать... А так же народ, который здесь пишет о своих проблемах, в частности Вы, возможно тоже сталкивался с подобного рода проблемами... ...и поделиться своими мыслями (хотябы, на что внимание обратить...) Иначе для чего нужен форум? Ан нет... специалистов нет или просто писать лень...

В статье приведены только настройки тоннеля, но не маршрутизации.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, там написана вот такая фраза: "After your policy is assigned, you have two additional active filters (Routing and Remote Access automatically creates IPSec filters for L2TP traffic). To see the active filters, type the following command at a command prompt:
netdiag /test:ipsec /debug" После введения данной команды выходит вот это: IP Security test ..... skipped и предлодение воспользоваться командой: netsh ipsec dynamic show /?.

netsh ipsec dynamic show all появляются вот такие ошибки:
ошибка IPSec[06137] : Сопоставления безопасности основного режима IPSec недоступны.
ошибка IPSec[06138] : Сопоставления безопасности быстрого режима IPSec недоступны.

Если же делал ping DFL - to - Win2k3, то ошибки пропадают. В логах безопасности Win2k3 повляются события "541":



Так же, в статье Microsoft есть место по добавлению статического маршрута:


Есть какие-нибудь идеи как посмотреть маршруты, которые, якобы, должны были создастся автоматически? И как их добавить в ручную?
Команда: route print ничего похожего, на то что нужно не показывает... [/code]