Здравствуйте!

Есть проблема с организацией IPSec VPN на DI-804HV (v1.37) и DFL-200 (v1.30.00).

DFL-200 находится в Лос-Анжелесе, на нем в Разделе Firewall -> VPN для созданного туннеля не удается открыть Advanced - страница конфигурации начинает загружаться, но так никогда и не заканчивает . В результате параметры туннеля нельзя ни отредактировать, ни посмотреть.

Отсюда вопрос №1 - как добраться до параметров туннеля?


На DI-804HV производится попытка угадать параметры туннеля, для чего создаются 4 IKE Proposal:
1. Group2; 3DES; SHA1; 28800sec
2. Group2; DES; SHA1; 28800sec
3. Group2; 3DES; MD5; 28800sec
4. Group2; DES; MD5; 28800sec
Все 4 добавлены к Proposal Index.

При попытке установить туннель (конечно же, неудачной) в логе на DI-804HV имеем:

11:49:06 Send IKE M1(INIT) : 82.207.ххх.xxx --> 64.239.xxx.xxx
11:49:06 Receive IKE M2(RESP) : 64.239.ххх.xxx --> 82.207.ххх.xxx
11:49:06 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
11:49:06 Send IKE M3(KEYINIT) : 82.207.ххх.xxx --> 64.239.ххх.xxx
11:49:07 Receive IKE M4(KEYRESP) : 64.239.ххх.xxx --> 82.207.ххх.xxx
11:49:07 Send IKE M5(IDINIT) : 82.207.ххх.xxx --> 64.239.ххх.xxx
11:49:08 Receive IKE INFO : 64.239.ххх.xxx --> 82.207.ххх.xxx
11:49:08 IKE phase1 (ISAKMP SA) remove : 82.207.ххх.xxx <-> 64.239.ххх.xxx

В то же время на DFL-200 в логе написано:

[2005-08-25 02:55:24] <6>EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=64.239.ххх.xxx) and ipv4(any:0,[0..3]=82.207.ххх.xxx) failed; Payload malformed.

[2005-08-25 02:55:22] <6>EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(any:0,[0..3]=64.239.ххх.xxx) and ipv4(any:0,[0..3]=82.207.ххх.xxx) failed; Invalid payload type.

[2005-08-25 02:55:21] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=82.207.ххх.xxx connsrcport=500 conndestif=core conndestip=64.239.ххх.xxx conndestport=500

Вопрос №2 - где грабли, и какой IKE Proposal необходимо задать на DI-804HV, чтобы он сконнектился с DFL-200? (DFL-200 сконфигурирован по умолчанию - там настроек никто не менял с момента его первого включения).

_________________
Глеб Рошаль

Первое что стоит сделать -- обновить ПО на обоих устройствах до последней версии. Многое станет намного легче... Все параметры вы указываете в принципе правильно, но на 200ом время жизни второй фазы по умолчанию -- 3600 сек.

_________________
С уважением -- Александр Шебаронин.

Спасибо, как только зальем новые прошивки, отчитаемся о результатах.

_________________
Глеб Рошаль

Поменяли прошивку на v1.33.00 на DFL-200, все равно не открывается страница "Advanced" для VPN-туннеля. Т.е. в браузере пишет "Открытие страницы..." и всё. Я даже попробовал уйти на обед - пришёл, а она все ещё открывается. Это только у нас так? Или это баг такой? Как туда добраться? Один раз, правда, вчера получилось - резво открылась, сразу. Но больше такая удача не повторяется. Что делать?

И ещё:
Как интерпретировать журнал установки IPSec-соединения на DI-840HV? Что означает строка в логе:
11:49:08 IKE phase1 (ISAKMP SA) remove : 82.207.ххх.xxx <-> 64.239.ххх.xxx
Есть ли хотя-бы возможность привести строки лога при полностью удачном соединении, как оно должно выглядеть?

_________________
Глеб Рошаль

Спасибо, всё заработало после перепрошивки DFL-200.
Хотя вопрос по доступности страницы Advanced свойств туннеля в DFL-200 всё равно остался открытым - так и не хочет открываться. Видимо, сие есть баг.

_________________
Глеб Рошаль

Управляйте устройством через тоннель. А доступность настроек через удаленное управление проверим.

_________________
С уважением -- Александр Шебаронин.