Доброго всем дня !

Есть DFL-600 в центре и DI804HV в филиалах.
Возможно ли организовать работу таким образом, чтобы филиалы до центра ходили по звезде, а между собой каждый с каждым.
Реализация LAN - IPSec, WAN - Eternet (свободный трафик до каждого филиала).
Проблема в том, что поднять два и более на DI804HV не получается, в то время как до DFL600 все ходят нормально.
NET центр - 192.168.0.0 /24
NET филиалы - 192.168.1.*/28 (поделена по 14).

Буду весьма признателен за дельный совет.

Почему не получается поднять два туннеля на DI-804HV? В чём проблема? Всё должно нормально работать.

Вот такие логи на DI804HV:

22 января 2004 г. 18:16:34 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:38 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:42 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:43 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:50 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:53 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:56 IKE phase1 (ISAKMP SA) remove : 10.0.1.21 <-> 10.0.1.24
22 января 2004 г. 18:16:59 Receive IKE A1(AINIT) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:59 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group1
22 января 2004 г. 18:17:00 Send IKE A2(ARESP) : [10.0.1.21]-->[10.0.1.24]
22 января 2004 г. 18:17:00 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:00 Receive IKE INFO : 10.0.1.24 --> 10.0.1.21
22 января 2004 г. 18:17:01 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:05 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:09 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:10 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:17 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:20 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:24 IKE phase1 (ISAKMP SA) remove : 10.0.1.21 <-> 10.0.1.24
22 января 2004 г. 18:17:27 Receive IKE A1(AINIT) : [10.0.1.24]-->[10.0.1.21]

Вот такие логи на DI-804HV

22 января 2004 г. 18:16:34 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:38 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:42 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:43 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:50 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:16:53 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:56 IKE phase1 (ISAKMP SA) remove : 10.0.1.21 <-> 10.0.1.24
22 января 2004 г. 18:16:59 Receive IKE A1(AINIT) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:16:59 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group1
22 января 2004 г. 18:17:00 Send IKE A2(ARESP) : [10.0.1.21]-->[10.0.1.24]
22 января 2004 г. 18:17:00 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:00 Receive IKE INFO : 10.0.1.24 --> 10.0.1.21
22 января 2004 г. 18:17:01 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:05 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:09 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:10 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:17 error : 10.0.1.24 -> 10.0.1.21 QM must after P1 and MsgID!=0
22 января 2004 г. 18:17:20 Receive IKE A3(AHASH) : [10.0.1.24]-->[10.0.1.21]
22 января 2004 г. 18:17:24 IKE phase1 (ISAKMP SA) remove : 10.0.1.21 <-> 10.0.1.24
22 января 2004 г. 18:17:27 Receive IKE A1(AINIT) : [10.0.1.24]-->[10.0.1.21]

А схему сети с адресацией и настройками устройств можете выложить или сюда, или мне по мейлу?

Выложить могу, но только что конкретно,
в центре в каждом филиале все одинаково, за исключением того что в центре маршрутизатором DFL , а в филиалах DI -
W2k AD в каждом узле сети DC, DHSP, DNS, gc, и тд. ... все как обычно,
ip range в филиалах пример -
6 - 192.168.1.144 / 28 192.168.1.145-192.168.1.158
7 - 192.168.1.160 / 28 192.168.1.161-192.168.1.174

6 - 192.168.0.0 / 24 192.168.0.1-192.168.1.254

Это вы выложили IP адресацию внутренних сетей, а ещё есть адресация внешняя, настройки IPsec, настройки маршрутизации. Можете мне просто бросить по мейлу конфиг файл снятый с двух DI-804HV, между которыми у вас не получилось поднять туннель, а я натягну его на свою DI и посмотрю все настройки вживую.

2 Ivan Martynyuk - послал ...

2 Ivan Martynyuk and all

после некоторых экспериментов удалось выяснить, что -

192.168.1.144 / 28
192.168.1.160 / 28

для DI-804HV - проблема ... , а

192.168.1.144 / 28
192.168.2.160 / 28

"ему" самый раз. Т.е. организавать VPN из поделенной сетки не удасться, может быть и не надо..., но блин, три дня не спал ...!!!!!!!!!
Ха.

господа Модераторы !!! Откликнитесь.
Может все же есть какая нибудь возможность рулить подсетями, уж очень не хочется все перестраивать (девять узлов переделать придется)...