Есть такая схема:
Server1 <-> (WAN) DFL-100 (LAN) <-> Server2
Прошивка у DFL-100 2.29.
Очень хочется зашифровать трафик между серверами с помощью IpSec. Без DFL работает, с ним не хочет. IpSec пасстру включен, но не помогает. Что я не так делаю?

Сложно сказать. вероятно мешает НАТ -- вы б хоть лог привели чтоль... Ну хоть что нибудь...

_________________
С уважением -- Александр Шебаронин.

Кстати - НАТ в ДФЛ-100 - отстойный... 604 и то лучше справляется и стоит намного дешевле...

Да, прошу прощения, очень торопился убегать, вот и получился фиговый вопрос
Server1 и Server2 это Win2k. Действительно, во время соединения в Nat sessions видно, что работает нат, а на Server1 сыпятся пакеты на 500 порт не от Server1, а от DFL. Соответственно, даже обмен ключами не происходит. С выключенным пасстру пакеты до Server1 вообще не доходят. Попытки выключить НАТ не увенчались успехом. Попытка разбить туннель Server1-Server2 на две части Server1-DFL и DFL-Server2 тоже не очень удалась. Наверное, я не совсем понимаю режим работы пасстру. Как же мне решить мою задачу?
P.S. втыкать Server2 в порт DMZ не хочется.

При включенном НАТ пакеты и должны сыпаться с адреса устройства. Потому как именно для этого этот самый НАТ и предназначен. Вам нужно настроить туннель со внешним адресом устройства -- и, возможно, включить режим NAT traversal.

_________________
С уважением -- Александр Шебаронин.

Включить NAT traversal где? На DFL?

Бр-р, что-то я слегка запутался. Первоначально, работающая схема была такой:
Server1 <-> Server2
Потом между ними воткнули DFL:
Server1 <-> DFL <-> Server2
Мне нужно изменить настройки только Server1, чтобы он принимал шифрованные входящие пакеты от DFL, а не от Server2? Я правильно понял?
А как-нибудь выключить НАТ можно?

NAT traversal включается в настройках туннеля. Изменить настройки нужно на сервере, который получается снаружи. И поняли вы правильно. НАТ на этом устройстве отключить нельзя.

_________________
С уважением -- Александр Шебаронин.

Ясно. Спасибо. Кажется, в ближайшее время, реализация моих планов не грозит, т.к. Win2k не поддерживает nat-t.
Кстати, по ходу разбирательств возник еще один вопрос. На самом деле, схема несколько сложнее, чем я нарисовал, и выглядит следующим образом:
Server1 (Win2k) <-> Gate (Win2k) <-> DFL <-> Server2 (Win2k)
Между Gate и DFL "враждебная среда" и настроен туннель, так что, в принципе, трафик между Server1 и Server2 шифруется, НО, как я уже говорил, хочется непосредственной шифрации между Server1 и Server2. А вопрос, собственно, вот в чем. Если на DFL включен пасстру для IpSec, то в Nat Sessions видно две сессии: первая между Gate и DFL, а вторая между DFL и Server1 (попытка установить туннель между Server1 и Server2 обламывается). Когда же пасстру для IpSec выключен, туннель между DFL и Gate продолжает работать, а IpSec пакеты от Server2 до Server1 вообще перестают доходить. Хотя, по идее, DFL должен просто запихать эти пакеты в туннель. Может кто-нибудь объяснить такую странность в работе?
P.S. Если отключить туннель между Server1 и Server2, пинги между ними ходят нормально.

_________________
Все хорошее когда-нибудь кончается...

1. не путайте мухи с котлетами!!!
2. не встревайте
3. обосновывайте

_________________
Даешь связистов без брака!
AB4790-RIPE

2marrab:
Да, как оказалось в реалиях все выглядит куда как сложнее Нужно провести некое исследование, а именно выяснить где теряются пакеты по 500му порту UDP и далее. При наличии прямого туннеля между DFL и удаленной сетью режим IPSec passthrough не нужен, потому как действительно -- пакеты должны просто паковаться в туннель.

2alex_u2:
Спасибо за дельный комментарий!

_________________
С уважением -- Александр Шебаронин.

1. что такое Gate (Win2k)
2. какая везде адресация? на сервер1, 2, гейте, на лане и ване дфл-100

думаю что проблема или в гейте или сервер1 и сервер2 находятся в одной и той же сети

_________________
Даешь связистов без брака!
AB4790-RIPE

Я не совсем понял вопрос

Не-е, с адресацией все нормально, все интерфейсы имеют адреса из разных сетей. Пакеты из сети с Server1 нормально бегают в сеть к Server2 и наоборот.

_________________
Все хорошее когда-нибудь кончается...

Спасибо, значит я еще не совсем сбрендил . Попробую еще помучить DFL. Сдается мне, что его надо просто обесточить после изменения настроек

_________________
Все хорошее когда-нибудь кончается...

Н-да, жаль, поменяли прошивку с 2.29 на 2.32, ситуация не изменилась. Шифрованные пакеты от Server2 просто проглатываются DFL.

_________________
Все хорошее когда-нибудь кончается...