Не получает настроить ipsec на D-link подкажите пожалуйста алгоритм действий, я уже неделю ковыряюсь не могу никак настроить..

Точка 1: Центральный офис Cisco 2851, за ней подсети 10.1.*.*; 10.8.*.*; 10.5.*.*

Конфиг Cisco:

crypto isakmp policy 10
authentication pre-share
group 2
!
crypto isakmp policy 255
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ***** address 199.199.199.199 no-xauth

dns 10.5.1.1 10.5.1.10
pool vpn_pool
acl VPN_access
netmask 255.255.255.0
!
!
crypto ipsec transform-set p_set esp-des esp-sha-hmac
crypto ipsec transform-set p_ra esp-3des esp-sha-hmac
!
crypto dynamic-map p_dyn 255
set transform-set p_ra
!
!
crypto map PVPN client authentication list default
crypto map PVPN isakmp authorization list default
crypto map PVPN client configuration address respond

crypto map PVPN 10 ipsec-isakmp
set peer 199.199.199.199
set security-association lifetime seconds 28800
set transform-set pari_set
set pfs group2
match address 156

access-list 156 permit ip 10.1.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 156 permit ip 10.1.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 156 permit ip 10.5.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 156 permit ip 10.21.1.0 0.0.0.255 192.168.1.0 0.0.0.255

ip access-list extended P_NAT
deny ip 10.1.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip 10.1.4.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip 10.5.1.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip host 10.20.1.203 any
permit ip 10.1.4.0 0.0.0.255 any
permit ip host 10.8.1.6 any
permit ip host 10.5.1.1 any
deny ip any any

точка 2 удалённый офис D-link DFL 800, подсеть 192.168.1.*

Вот как настроить D-link на это соединение? по мануалу делал, не работает, перечитал кучу постов примерно подходящих под эту тему, ничего не помогает.

Что именно вы настроили на DFL? Приведите параметры IPSec на DFL

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

d-link
IPSec:
general:
local network - lannet(192.168.1.0/24)
remote network - rem_net(10.0.0.0-10.21.255.255)
remote end point - pariend(199.199.199.199 внешний айпи гл.офиса)
Encapsulation Mode - tunnel
Algorithms^
IKE Algorithms: High(DES, AES, Blowfish, MD5, SHA1)
IPsec Algorithms: High(DES, AES, Blowfish, MD5, SHA1)

Authentication:
Pre-shared Key

IKE XAuth - Off

Automatic Routing
Specify address manually: (end point-pariend)

IKE sttings

Agressive 2
PFS 2
Per host
on if supported and nated
dead peer detection
Keep-alive (Auto)
Automatic Route Creation (Add route for remote network
)

1. Отключите keep alive.
2.remote network у вас заданно не верно. Данный параметр задается согласно CIDR, т.е. подсеть / маска либо подсеть / битная маска.
3.SA у вас должно быть не per host а per net.

Приведите исправленную конфигурацию и вывод из коносли команды ikesnoop -on -v когда тонеель пробует устанавливаться

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

d-link
IPSec:
general:
local network - lannet(192.168.1.0/24)
remote network - rem_net(10.0.0.0/8)
remote end point - pariend(199.199.199.199 внешний айпи гл.офиса)
Encapsulation Mode - tunnel
Algorithms^
IKE Algorithms: High(DES, AES, Blowfish, MD5, SHA1)
IPsec Algorithms: High(DES, AES, Blowfish, MD5, SHA1)

Authentication:
Pre-shared Key

IKE XAuth - Off

Automatic Routing
Specify address manually: (end point-pariend)

IKE sttings

Agressive 2
PFS 2
per net
on if supported and nated
dead peer detection
Keep-alive (disable)
Automatic Route Creation (Add route for remote network
)

единственная проблема в том что я не имею доступа к консольному управлению, всё через веб интерфейс, так как D-link далеко от меня..


есть правило ещё:
Allow pariVPN remote_net lan lannet all_services
и
Allow lan lannet pariVPN remote_net all_services

Консольное управление возможно и по SSH

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc