Доброго дня!

Прошу помощи/совета/отсылки к FAQ(сам не нашел) в части настройки ipsec тоннелей на dfl-210.
Имеется следующая настройка

1) Три ipsec тоннеля на dfl-210 (публичный IP, провайдер НЕ фильтрует трафик)
ipsec_1
ipsec_2
все имеют разные psk ключи, local id = auto, remote gw = none, xauth не используется
то есть в классификации dlink'а - это динамические туннель

2) два dir-330 находящиеся в разных городах за разными провайдерами (NAT + не публичный IP), на каждом настроен ipsec site-to-site, с указанием на каждом своего psk ключа. Local и remote id = default. Все остальные настройки - идентичны, сто раз проверял.

Проблема - первый тоннель успешно поднимается, трафик ходит успешно в обе стороны, а для второго - в лог сыпятся ошибки с общим смыслом что payload invalid, possibly due to different psk keys.

Что и где нужно донастроить, чтобы второй тоннель тоже поднимался?

ВАЖНО - знаю, что это не полноценный site-to-site, ввиду отсутствия публичного IP у dir-330-х и отсутствия remote gw на dfl-210; тем не менее, такая схема меня устраивает и ГЛАВНОЕ - она работает в обе стороны

С уважением,
Владимир

Два динамических тоннеля работать НЕ будут никогда.

Либо изменяйте конфигурацию на один динамический тоннель + 2 разных сети за ним, либо делайте статические IPsec на основе DynDNS имен.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо! Такое подозрение (что неск динамических тоннелей не будут работать) меня посещало, не было уверенности.

Насчет статики на основе DynDNS - непонятно как в этом случае изменится схема подключения и настройки? Можете пояснить или отослать к манам? Буду благодарен.

С DynDNS получаются обычные статические тоннели (по классическому FAQ), только remote endpoint'ы в центре указываете в виде dns:yourhost.dyndns.org

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Сделал через dyndns.org... вроде как полагается по классическому FAQ... ничего не изменилось, первый тоннель работает, все остальные нет
Local ID на DFL указал вида DNS abc.wowkin.ru (abc - переменная строка в зависимости от тоннеля)
на DIR-330 local id = default; remote id = FDQN abc.wowkin.ru (соответствует тому тоннелю, к которому надо соединиться).

Что я делаю не так?

А с имеющимеся настройками каждый туннель в отдельности поднимается нормально?
Если да, то проблема может быть не в настройках, а в оборудовании - возможно, в DIR-330 есть проблемы с несколькими IPSEC через NAT-T.

Как раз и нет - посмотрите выше - в случае динамических тоннелей работает только один


В dir-330 как раз проблемы нет, т.к. они без проблем соединяются если настраивать их на первый тоннель, настроенный в DFL. А вот DFL как раз не хочет почему то поднимать тоннели, которые 2, 3, .....
В данной схеме каждый из уже трех Dir-330 (разбросанных территориально) поднимает свой тоннель на единственном DFL-210, стоящем в Москве. Точнее должен поднимать. Но почему то поднимается только первый из настроенных - не могу понять почему.

Сорри, неправильно понял.
Но вопрос тот же - если пробовать по одному (например, только 2й или только 3й), поднимается каждый из туннелей, или туннели 2 и 3 не поднимаются ни при каких условиях?

Еще не пробовал, но идея хороша - думаю, попробую в ближайщее время, задизэйблю первый и проверю второй

В общем проверил. Если отключить все лишние (оставить любой, но один) - то он сам по себе поднимается и работает без проблем. Все-таки фигня какая-то получается По-моему, это ненормальная работа..... вся информация (psk ключи + ID тоннелей) есть, чтобы нормально поднимать каждый из тоннелей по-отдельности.

Тогда проблема не в настройках туннелей (единственно - надеюсь, удаленные сети за dir330 имеют разную адресацию?).

Да это я уже давно догадался, т.к. 330-е имеют идентичную 1-в-1 настройку - отличаются только local net, local id и psk ключи.

Напомните еще раз, вы туннели переделали на DynDNS remote enpoint'ы или оставили динамическими?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Да, на DFL-210 у каждого тоннеля в параметре remote endpoint стоит строка вида dns:<имя удаленного хоста>.dyndns.org.
На каждом dir-330 стоит регистрация в dyndns со своим уникальным: <имя удаленного хоста>.dyndns.org. В личном кабинете dyndns вижу, что регистрация успешна, апдейты проходят.
При этом, также включил на каждом dir-300 local_id (FDQN) = <имя удаленного хоста>.dyndns.org; при этом remote_id остался = default.

На DFL настроен DNS?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc