Здравствуйте! В dfl-1600 воткнуты 3 провайдера, настроено резервирование между ними, т.е. отрубаем первый канал, смотрим в инет через второй, второй отрубаем, идем в мир через третий. Настроен IPSec туннель, который при падении первого канала прекрасно работает через второй, но не работает через третий... 3-ий канал - yota c белым ip, Интернет-центр ZyXEL MAX-206M2, на котором стоит проброс всего и вся на dfl. dfl получается за Nat-ом. На другом конце туннеля стоит циска, которая мониторит доступность трех ip-адресов и в случае недоступности первого меняет маршрут до второго и так далее, т.е. параметры туннеля она не изменяет никак. NAT traversal на ней включен. Вот немного из ikesnoop:

2010-10-14 10:12:12: IkeSnoop: Sending IKE packet to 213.87.XXX.XXX:4500
Exchange type : Quick mode
ISAKMP Version : 1.0
Flags : E (encryption)
Cookies : 0x17f71d38bdceb4d -> 0x4956799f7df3122
Message ID : 0x18e1d9b5
Packet length : 296 bytes
# payloads : 6
Payloads:
HASH (Hash)
Payload data length : 16 bytes
SA (Security Association)
Payload data length : 60 bytes
DOI : 1 (IPsec DOI)
Proposal 1/1
Protocol 1/1
Protocol ID : ESP
SPI Size : 4
SPI Value : 0x0d13dec2
Transform 1/1
Transform ID : 3DES
Authentication algorithm : HMAC-MD5
SA life type : Seconds
SA life duration : 28800
SA life type : Kilobytes
SA life duration : 4608000
Group description : MODP 1024
Encapsulation mode : UDP Tunnel
NONCE (Nonce)
Payload data length : 16 bytes
KE (Key Exchange)
Payload data length : 128 bytes
ID (Identification)
Payload data length : 12 bytes
ID : ipv4_subnet(any:0,[0..7]=192.168.7.0/24)
ID (Identification)
Payload data length : 12 bytes
ID : ipv4_subnet(any:0,[0..7]=172.16.0.0/23)

2010-10-14 10:12:12: IkeSnoop: Received IKE packet from 213.87.XXX.XXX:4500
Exchange type : Informational
ISAKMP Version : 1.0
Flags : E (encryption)
Cookies : 0x17f71d38bdceb4d -> 0x4956799f7df3122
Message ID : 0xecb2f134
Packet length : 76 bytes
# payloads : 2
Payloads:
HASH (Hash)
Payload data length : 16 bytes
N (Notification)
Payload data length : 24 bytes
Protocol ID : ESP
Notification : No proposal chosen

А вы уверены, что Zyxel умеет маппить не только TCP/UDP, но и другие IP протоколы (а именно - ESP) ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я проводил эксперимент: создал IPSec туннель между dfl-1600 и dfl-800, dfl-800 смотрел в инет через zyxel, туннель работал.

Через ZyXEL с той же Yota или проводным провайдером?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

c той же yota

В настройках IPSec указал Local ID Type: IP
Local ID Value: 109.188.YYY.YYY (внешний IP yota)

DFL-1600:/> ipsecstats -ike -verbose

--- Active IKE SAs:

1 Remote peer: 213.87.XXX.XXX:4500 (IP циски)
Identities:
local : 109.188.YYY.YYY
remote: 213.87.XXX.XXX

# Negotiations in progress: 0
Bytes sent : 18216
Created : 2010-10-15 17:34:53
Last used : 2010-10-15 17:44:33
Expires : 2010-10-16 17:34:53
Encryption alg : 3des-cbc
Hash alg : md5
PRF alg : hmac-md5

DFL-1600:/> ipsecstats -usage -verbose

--- Active IPsec SAs:

There are no active SAs

т.е. IKE Security Association проходит, а вот IPsec SA нет...

Была у меня похожая ситуация - только за 2 НАТами

DFL210 <--> Win2003 + Kerio <--> DSL <-->INET<-->DFL2500

В общем на UDP:500 был IKE , a IPSEC на UDP:4500 не вставал.

Решилось добавлением NAT traversal ENABLE в KERIO (IPSec Properties)

Решение
Вариант 1. Научить Зиксел NAT traversal
Вариант 2. Получить реальный IP и ходить по ESP
Вариант 3. Выключить на всех роутерах ДФЛ+ЦИСКА NAT traversal соеденить их одной подсетью, а все сети пробрасывать маршрутами через эту сеть

Успехов

1. Zyxel учить ничему не надо, т.к. IPSec туннель между DFL-800->Zyxel -- Internet -- DFL-1600 работает.
2. На Zyxel реальный IP. Задача подразумевает 3-й резервный канал мобильным, поэтому от yota не уйти.
3. поясните...

Если тунель был --- то думаю: 1 сеть <-> 1 cеть

много сетей <-> 1 cеть - пробовали ?



Имелось ввиду получить реальный IP на внешнем интерфейсе ДВЛки
Тоесть сделать Зиксел
а) роутером на ваш реальный IP ДФЛки
б) или МОСТОМ



http://en.wikipedia.org/wiki/NAT_traversal