Здравствуйте.
Имеем два DSR-500N (Firmware Version: 1.03B27_WW Hardware Version: A1) в удаленных офисах, между которыми был натянут VPN. все прекрасно работало, но вот по техническим причинам пришлось отключить одну из железок. После перезагрузки VPN отказался подниматься. логи выдают примерно следующее:
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: [ident_i1send:187]: XXX: setting vendorid: 9
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: [ident_i1send:187]: XXX: setting vendorid: 8
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: [ident_i1send:187]: XXX: setting vendorid: 4
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: [ident_i1send:183]: XXX: NUMNATTVENDORIDS: 3
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Beginning Identity Protection mode.
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Initiating new phase 1 negotiation: ХХ.ХХХ.ХХХ.251[500]<=>ХХ.ХХХ.ХХХ.252[500]
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Configuration found for ХХ.ХХХ.ХХХ.252.
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Configuration found for ХХ.ХХХ.ХХХ.252.
Mon Aug 22 12:38:25 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Using IPsec SA configuration: 172.16.0.0/16<->172.17.0.0/16
Mon Aug 22 12:38:20 2011 (GMT +0000): [DSR-500N] [IKE] ERROR: Phase 2 negotiation failed due to time up waiting for phase1. ESP ХХ.ХХХ.ХХХ.252->ХХ.ХХХ.ХХХ.251
Mon Aug 22 12:38:10 2011 (GMT +0000): [DSR-500N] [IKE] ERROR: Phase 1 negotiation failed due to time up for ХХ.ХХХ.ХХХ.252[500].
Mon Aug 22 12:37:49 2011 (GMT +0000): [DSR-500N] [IKE] INFO: Configuration found for ХХ.ХХХ.ХХХ.252.
и далее по циклу, с обоих сторон.
настройки сбрасывал, прошивку перезаливал, соединение переподнимал.
фары протер, по колесу стучал.
посоветуйте как бороться с этим "счастьем" ?

Настройки в студию...

туннель создавался Wizard'ом и настроек я не менял
Policy Type: Auto Policy
IKE Version: IKEv1
IPsec Mode: Tunnel Mode
Remote Endpoint: IP Address
Enable NetBIOS: +
Protocol: ESP
Local IP: Subnet 172.16.0.0/16
Remote IP: Subnet 172.17.0.0/16

Phase1(IKE SA Parameters)
Exchange Mode: Main
Direction / Type: Both
Nat Traversal: On
Encryption Algorithm: AES-128
Authentication Algorithm: SHA-1
Authentication Method: Pre-shared key
Diffie-Hellman (DH) Group: Group 2 (1024 bit)
SA-Lifetime (sec): 28800

Phase2-(Auto Policy Parameters)
SA Lifetime: 3600
Encryption Algorithm: AES-128
Integrity Algorithm: SHA-1

туннель поднялся методом, очень напоминающим танец с бубном:
сброс устройств кнопкой "reset" -> отключение питания на долгий срок (оставил на ночь) -> отключил все оборудование, подцепился с ноута и залил новую прошивку (43я) -> руками с нуля настроил оба устройства (в пред идущих попытках заливал рабочие конфиги)
после чего подключил все кабели - получил рабочий тоннель.

вопрос, что я делаю не так ?
и что меня ждет после следующего сброса питания, очень не хотелось бы каждый раз тратить столько времени на достаточно простую, на первый взгляд, процедуру.

очень бы хотелось услышать отзывы пользователей сего девайса и представителей d-link на тему использования vpn в этом устройстве.

ночью у провайдера приключились плановые работы.
1. WAN порт лёг, сама переавторизоваться 500ка не смогла, помогла только перезагрузка устройства
2 VPN туннель опять таки лежит, с симптомами как и в начале темы

Ну это вряд ли Во первых вы используете не "каширную" прошивку, хоть и выпущенную самим Д-линком, и все мои призывы к работникам d-linka исполнить свои профессиональные обязанности, оплаченные при покупке данного девайса, оканчивались угрозами выставить на меня бан, чтоб и другим не повадно было поднимать тему о "профнепригодности" работников d-linka, ведущих данную ветку форума. Так что, я думаю, данный состав вряд-ли нам сможет помочь из-за отсутствия желания иметь какие либо "знания" по данной прошивке к данному девайсу.
А по сему, как уже было не раз в классике, "спасение "утопающих"-дело рук (и мозгов) самих "утопающих".

Вот здесь бы надо расшифровать, что значит "рабочий тоннель" У меня он коннектиться на вкладке Status-Active VPNs-Connect добавляя в Active Session udp-сессию по 500 порту. По идее должен еще в Tools-System check-Display должен появиться маршрут 172.16.0.0 - 172.17.0.0 в дополнительно поднятые интерфейсы, но у меня он почему-то не появляется и маршруты уходят во внешние интерфейсы. А как у Вас? Это фактические Ваши внутренние сети?

по поводу "профпригодности" и "обязанностей". Работники d-link ведущие данную ветку форума выступают тут не сами по себе, а как официальные работники d-link, соответственно они связаны обязательствами и внутренними правилами компании, и если d-link сказал "низя использовать ww в россии" по каким то причинам (вполне возможно юридическим - как например протоколы шифрования). соответственно если сотрудник отпишется на форуме по поводу ww прошивки - он просто потеряет работу.
по сему я не вижу смысла вступать в полемику по этому поводу.
многоуважаемые представители d-link, описанные мной проблемы появляются НЕ ЗАВИСИМО от прошивки ru или ww
1 - vpn тоннель (IPSec, создан Wizard'ом настройки не менялись) - не всегда устанавливается соединение после сброса питания либо после потери подключения по wan порту.
2 - опять же Wizard'ом настроенное PPPoE соединение не поднимается автоматом после потери PPPoE авторизации. (использую пока что 1wan порт)

готов предположить что у меня кривые руки, и я что то делаю не так. по сему все таки хотелось бы услышать ваши комментарии по этому поводу.
если это вопрос принципиальный - я готов перейти на 43ю русскую прошивку, но на ней эти проблемы наблюдались не реже, если не чаще (или просто мне "повезло")

под "рабочим тоннелем" я понимаю конечный результат - прохождение пакетов из одной моей подсети 172.16.0.0/16 в другую 172.17.0.0/16, да это мои внутренние сети, физически расположенные в разных зданиях.
на вкладке Status-Active VPNs-Connect - есть запись о наличии соединения "State IPsec SA Established"
в таблице маршрутизации никаких дополнительных маршрутов не появляется, но сдается мне его там быть не должно - vpn тоннель, по идее, организуется несколько иными механизмами чем банальный роутинг - соответственно в таблице маршрутов его быть не должно.

З.Ы. размышления на тему..... PPPoE - это по сути один из вариантов vpn, может быть обе проблемы имеют одни корни ?

И я уже тоже. Я железку купил у д-линка в другой стране, использую ее с д-линковской прошивкой в другой стране и если работники д-линка взяли на себя сомнительные обязательства в отношении граждан россии, то причем тут я? В отношении граждан России - бред, а в отношении НЕ граждан России - профнепригодность и надувательство. Сам сервис есть-зарплату получают полностью, а сервис по выборочным вопросам не обеспечивают.
И правда, и тоннели и PPPoE встали сразу. Но какие то однобокие. Правило НАТ включено только из внутренней сетки в сетку "внешнюю" Трасерт из одной внутренней сетки сразу заходит прямо на внутренний IP "внешнего" д-линк, а на "удаленные" машины с обоих сторон не доходит.[/quote]
Похоже так. Получает только внешний IP, Внутренний интерфейс нигде не светится, а по-сему выход на модем будет весьма затруднен. Пока ничего не отваливается.

batter, в чем заключаются ваши проблемы с DSR? Я не увидел здесь описания ваших проблем с устройством, кроме оффтопа написать что-нибудь можете?

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Алексей_, прошивку с исправлением работы IPSec ждем в ближайшее время.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Наблюдал НЕ поднятие VPN туннеля на своей железке, попробуйте поиграться параметрами WAN Mode. Use only single WAN port - в этом режиме были попытки авто поднятия.

получил устойчивый результат поднятия тоннеля - сброс настроек до заводских кнопкой Reset, и поднятие заново в ручную. очень полезно для тренировки настройки устройства в слепую, в любое время суток..... ппц.
очень ждем нормальную прошивку...

Та же проблема на DSR-500. Не поднимается туннель с DFL-210. Какие только настройки не перепробовал. Прошивка 43. Уже пожалел,что связался с этой поделкой.

У меня тунель DSR-500N (43-WW)- DFL-800 (2.27.00.15-14098) на дефолтных настройках вяжутся нормально. Не паникуй - залей нужные прошивки - постройте сначала мастером тунель на DSR - выберете такие же настройки на DFL и будет Вам счастье!

Да проблемы все те же,
1. Не очень четкое соединение PPPoE, т.е. вроде бы оно есть, но частота срывов и замусоривание из-за этого таблицы роутов напрягает. Роуты после отрыва остаются в таблице и не исчезают даже после перегрузки таблицы-пришлось включать сам модем роутером, что не есть хорошо, но зато позволило заодно решить проблему доступа к настройкам модема.
2. Соединения PPTP вообще ничего не соединяют, ни обычное ни Russian dial.
Приходиться запускать его с непосредственно с машин, что тоже не очень удобно.
И на мой взгляд оба эти клиента не должны запускаться с интервейсов WAN, а должны запускаться из меню рядом с IPsec как это реализовано в DFL-ках.
3. Соединение тунелем у меня устанавливается, но данный интерфейс в политиках не появляется и следовательно управлять им пока не представляется возможным.
До остальных проблем пока не добрался-прошивка 73-ru решила только проблему доступа к веб. и убила тунели - на фазе-2 нет никакого шифравания.