Привет всем! Выручайте, есть сеть 5 филиалов DI-804HV и центр, где сейчас поставил DFL-860E вместо DI-804HV. Связь через IPsec. Интернет есть, тунели поднял( IPsec SAs
Удаленный Шлюз Локальная сеть Удаленная Сеть Протокол
78.85.**.** 192.168.0.0/24 192.168.5.0 des-cbc
), на DI-804HV филиалов тоже статус тунеля есть, но трафика нет, не пингуется уд.шлюз.
параметры тунеля:
Имя: tun0_5
Локальный IP-адрес: 192.168.0.10
Широковещательный: 0.0.0.0
Локальная сеть: 192.168.0.0/24
Удаленная Сеть: 192.168.5.0
Удаленный Шлюз: 78.85.**.**
Тип IKE: Main
Группа D-H modp: 1
Обход NAT: Enabled if needed and supported by the remote peer
SA per: Net
PFS: Disabled
Тип конфигурации: Disabled
DHCP over IPsec: Disabled
Добавить маршрут: Disabled
Клиент XAUTH: Disabled
XAUTH: Disabled
Сохранить действующим: Enabled (auto)
Аутентификация: PSK: IPsec_key
MTU: 1420
Отправленно : 0 kbps
Отправленно: 0 kbps
Правила есть разрешающие:
Ipsec_to_lan Allow tun_group Ipsec_group_net lan lannet all_services
Lan_to_Ipsec Allow lan lannet tun_group Ipsec_group_net all_services
tun_group - (tun0_1, tun0_2, tun0_3, tun0_4, tun0_5, tun0_6) группы интерфеса
Ipsec_group_net - ( Ipsec_1_net Ipsec_2_net, Ipsec_3_net, Ipsec_4l_net...)(192.168.1.0. ... 192.168.5.0)

Чтобы DFL пинговался из филиалов, надо еще правило
Allow tun_group/Ipsec_group_net core/lan_ip ping-inbound

Покажите Status > Routes

Смотрите в Status > IPsec > List SAs - не двоятся ли SA?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Содержание таблицы маршрутизации (максимальное количество 100 входных записей)
Флаги Сеть Интерфейс Шлюз Локальный IP-адрес Метрика
192.168.6.0 tun0_6 90
192.168.5.0 tun0_5 90
192.168.1.0 tun0_1 90
192.168.4.0 tun0_4 90
192.168.2.0 tun0_2 90
192.168.3.0 tun0_3 90
192.168.120.0/24 wan2 100
172.17.100.0/24 dmz 100
192.168.0.0/24 lan 100
0.0.0.0/0 Internet 90
0.0.0.0/0 wan1 100

Статус IPsec IKE

Шлюз Создано Истечение срока Алгоритм шифрования Удалить IKE SA
78.85.x1.x1 2011-09-27 16:52:46 2011-09-28 00:52:46 unknown
78.85.x2.x2 2011-09-27 16:52:34 2011-09-28 00:52:34 unknown
78.85.x3.x3 2011-09-27 16:52:30 2011-09-28 00:52:30 unknown
78.85.x4.x4 2011-09-27 16:52:48 2011-09-28 00:52:48 unknown

хмм...а тунелей 6 а не 4..странно..

А если смотреть статус VPN то в самом низу была только одна строчка. т.е. я так полагаю что не двоилось ничего..

Если будет что-то известно, про это, напиши, потому что у меня сейчас точно та же проблема, с теми же железками, заранее спасибо, если что-нибудь узнаю, отпишусь здесь.))

Рекомендация тут одна - смотрите логи, вычленяйте почему у вас не устанавливаются туннели, исправляйте это или постите сюда

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

попробуйте для начала тупо обновить прошивку на 2.30 или 2.40 (for ww).

разумеется, сохранив текущую прошивку и конфиг.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.