Здравствуйте всем.

Подскажите по проблеме, пожалуйста.

Соединяем три офиса, на одном DFL-210, на 2 других DFL-700.

Настраиваю DFL-210 точь в точь как в FAQ "Настройка IPSec между межсетевым экраном DFL-210/800 и DI-804HV" (http://www.dlink.ru/ru/faq/92/520.html)

DFL-700 настраиваю как в FAQ "Настроить VPN IPSec туннель между межсетевыми экранами DFL-200/700/1100 и DI-804HV (на примере DFL-700)" (http://www.dlink.ru/ru/faq/92/519.html)

По идее логично.
Два FAQ по соединению 2 разных DFL с одним и тем же DI80HV.

Но соединения не происходит.


Соединения не происходит.

Два DFL-700 между собой соединены туннелем IPSec, DFL-210 не соединяется ни с одним из них.

Может, есть какая-то фундаментальная ошибка?

Вот в логах DFL-700:

[2010-06-17 18:09:16] <6>EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=xxx.xxx.139.36) and ipv4(udp:500,[0..3]=xxx.xxx.208.152) failed; No proposal chosen.

[2010-06-17 18:09:16] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=xxx.xxx.208.152 connsrcport=500 conndestif=core conndestip=xxx.xxx.139.36 conndestport=500

Похоже, не находится правильной комбинации обмена ключами?

Непонятно, что такое Medium в настройках IPSEC DFL-210

По идее, надо что-то поменять в настройках DFL-700?
Скриншот страницы ADvansed настроек туннеля DFL-700:

Синхронизируйте параметры шифрования, тайминги

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Пока непонятно, где задаются параметры шифрования в DFL-210.
В FAQ этого нет.

Что IKE Algorithms, что IPSec Algorithms - Medium.

А что это за медиум и как оно соответствует настройкам шифрования брандмауэров компании предыдущего поколения - непонятно.

Настраивается в Objects > VPN objects

Обратитесь к FAQ http://dlink.ru/ru/faq/92/520.html - у старых DFL много общего с DI

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо, нашел, пошел пробовать.

Вот скриншоты, в которых я пытался синхронизировать параметры шифрования.
Упростил все.
Тайминги и там и там 28800 и 3600.









И опять не соединяется, "No proposal chosen."

Что еще им не хватает то?

Поставил вместо Медиум алгоритм High.
Логи изменились.
Что это - пока непонятно.

[2010-06-18 01:05:20] <6>EFW: IPSEC: prio=1 SA ESP[b684d388] alg [3des-cbc/24]+hmac[hmac-sha1-96] bundle [33,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.0.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.1.0/24)

[2010-06-18 01:05:20] <6>EFW: IPSEC: prio=1 SA ESP[2f380c97] alg [3des-cbc/24]+hmac[hmac-sha1-96] bundle [33,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.1.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.0.0/24)

[2010-06-18 01:05:20] <6>EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 33 with 2 SA's by rule 2:`ipsec ipv4_subnet(any:0,[0..7]=192.168.1.0/24)<->ipv4_subnet(any:0,[0..7]=192.168.0.0/24)(gw:ipv4(any:0,[0..3]=xxx.xxx.208.168))'

[2010-06-18 01:05:20] <6>EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(udp:500,[0..3]=xxx.xxx.139.36) and ipv4(udp:500,[0..3]=94.247.208.168) done.

А вот это уже больше похоже на то что поднимается тоннель

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Туннель не поднимается.

Объясните, пожалуйста, в списке алгоритмов шифрования что важно?

Главное, чтобы нашлась пара одинаковых по параметрам алгоритмов с обеих сторон?

Порядок и количество не важно?
Честно говоря, что ни читал все - было на уровне шаманства.
"Все должно быть одинаково с обеих сторон".

Если с одной стороны в алгоритмах шифрования IKE есть 3DES MD5 28800 сек, а с другой стороны список:

3DES SHA-1 800 сек
DES MD5 28800 сек
3DES MD5 28800 сек

здесь есть такой же алгоритм, значит, должно работать?

В IPSec, наверное, аналогично.

Объясните, пожалуйста.


Другими словами, если я перечислю в DFL-210 все возможные алгоритмы шифрования, то вероятность соединения будет выше?

Попробовал сединить DFL-210 (xxx.xxx.208.152) с другим DFL-700 (xxx.xxx.208.168).
Они рядом друг с другом.


Вот что пишет DFL-210
Я вот что не пойму:
У меня русским языком сказано в настройках что ремотеИП=xxx.xxx.208.168

Откуда в логах remote_peer="xxx.xxx.208.123?
Что это может быть?
Не совпадает ни с шлюзом, ни с ДНС.

2010-06-18
10:40:23 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x150e2484, AH=0x6ef2675b, IPComp=0xd6e78ca"
2010-06-18
10:40:23 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="xxx.xxx.208.152 ID No Id" remote_peer="xxx.xxx.208.123 ID No Id" initiator_spi="ESP=0x150e2484, AH=0x6ef2675b, IPComp=0xd6e78caa"
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2010-06-18
10:40:23 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=xxx.xxx.208.152 remote_ip=xxx.xx.208.123 cookies=150e24846ef2675bd6e78caad2dc3822 reason="Could not find acceptable proposal"
2010-06-18
10:40:23 Notice IPSEC
1802300


rule_selection_failed
info="Peer IP address mismatch" int_severity=6
2010-06-18
10:40:23 Info IPSEC
1803001


failed_to_select_policy_rule
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2010-06-18
10:40:23 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x150e2484, AH=0x6ef2675b, IPComp=0x936fa8e"
2010-06-18
10:40:23 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="xxx.xxx.208.152 ID No Id" remote_peer="xxx.xxx.208.123 ID No Id" initiator_spi="ESP=0x150e2484, AH=0x6ef2675b, IPComp=0x936fa8e6"
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2010-06-18
10:40:23 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=xxx.xxx.208.152 remote_ip=xxx.xxx.208.123 cookies=150e24846ef2675b936fa8e6293b34da reason="Could not find acceptable proposal"
2010-06-18
10:40:23 Notice IPSEC
1802300


rule_selection_failed
info="Peer IP address mismatch" int_severity=6
2010-06-18
10:40:23 Info IPSEC
1803001


failed_to_select_policy_rule
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2010-06-18
10:40:23 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x150e2484, AH=0x6ef2675b, IPComp=0x3b38e85"
2010-06-18
10:40:23 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="xxx.xxx.208.152 ID No Id" remote_peer="xxx.xxx.208.166 ID No Id" initiator_spi="ESP=0x150e2484, AH=0x6ef2675b, IPComp=0x3b38e854"
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2010-06-18
10:40:23 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=xxx.xxx.208.152 remote_ip=xxx.xxx.208.166 cookies=150e24846ef2675b3b38e85497593d8d reason="Could not find acceptable proposal"
2010-06-18
10:40:23 Notice IPSEC
1802300


rule_selection_failed
info="Peer IP address mismatch" int_severity=6
2010-06-18
10:40:23 Info IPSEC
1803001


failed_to_select_policy_rule
2010-06-18
10:40:23 Warning IPSEC
1802715


event_on_ike_sa