Доброго времени суток.

У меня возникла проблемка с настройкой DFL-860E, PPTP настраивается и работает без проблем, а вот с L2TP
сложности. Делал всё сначала по инструкциям, потом конечно крутил все гайки в надежде что заработает, не
заработало ((((. ПО форуму искал, Факи читал, на мысли не навело.

Firmware Version: 2.40.00.10-16817
Oct 7 2011

Задача - установить тоннель для подключения удалённого компьютера к офису. Удалённая машина - винды ХР.

IPsec Status List all active IKE SAs.
IPsec Interface:

Name: ip_sec_for_l2tp
Local IP: 128.212.101.1
Broadcast: 0.0.0.0
Local Network: 128.212.0.0/16
Remote Network: 0.0.0.0/0
Remote Gateway: 0.0.0.0/0
IKE Mode: Main
D-H modp group: 1
NAT Traversal: Enabled if needed and supported by the remote peer
SA per: Net
PFS: Enabled (keys), D-H modp group 1
Config Mode: Disabled
DHCP over IPsec: Disabled
Add Route: Enabled
XAUTH Client: Disabled
XAUTH: Disabled
Keep-alive: Disabled
Authentication: PSK: IPSec_Key
MTU: 1420

Send Rate: 0 kbps
Receive Rate: 0 kbps

ниже на этой страничке всё пусто, IPsec SAs - нету.
___________________________________________________

IP_sec_for_l2tp

GENERAL:

Name: IP_sec_for_l2tp
Local Network: lannet
Remote Network: all-nets
Remote Endpoint: (None)
Encapsulation mode: Transport
IKE Config Mode Pool: (None)

Algorithms
IKE Algorithms: Medium
IKE Lifetime: 28800 seconds
IPsec Algorithms: Medium
IPsec Lifetime: 3600 seconds
IPsec Lifetime: 0 kilobytes

Authentication:
Pre-shared Key IPSec_Key

IKE Settings:

IKE
Main DH Group 1

Perfect Forward Secrecy
PFS 1

Security Association
Per Net

NAT Traversal
On if supported and NATed

Dead Peer Detection
Use Dead Peer Detection

___________________________________________________
PPTP/L2TP Servers

General:
Name: L2TP
Inner IP Address: lan_ip
Tunnel Protocol: L2TP
Outer Interface Filter: ip_sec_for_l2tp
Server IP: wan1_ip

PPP Parameters:
Use User Authentication Rules
RC4 128 bit
IP Pool: pptp_ippool

____________________________________________________
User Authentication Rules


General: l2tp_rule
Authentication agent: L2TP/PPTP/SSL VPN
Authentication Source: Local
Interface: ip_sec_for_l2tp
Originator IP: all-nets
Terminator IP: wan1_ip

Authentication Options:
Local User DB: remoteusers

Agent Options:

Use PAP authentication protocol.
Use CHAP authentication protocol.
Use MS-CHAP authentication protocol.
Use MS-CHAP v2 authentication protocol.

_____________________________________________________
Rules:

IPSec_to_lan Allow L2TP pptp_ippool lan lannet all_services
lan_to_IPSec Allow lan lannet L2TP pptp_ippool all_services

______________________________________________________

Что видим в логах:

2012-04-24
10:42:16 Warning RULE6000051 Default_Rule TCP wan1 ip-rem-host/ip-wan1 1038/1723 ruleset_drop_packet

drop
ipdatalen=28 tcphdrlen=28 syn=1

2012-04-24
10:42:28 Info CONN600001 IPsecBeforeRules UDP wan1/core ip-rem-host/ip-wan1 500/500 conn_open

2012-04-24
10:42:28 Info IPSEC1802024 - - - - - ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="Pre-shared keys" encryption=des-cbc keysize= hash=sha1 dhgroup=1

bits=768

2012-04-24
10:42:28 Info IPSEC1802703 - - - - - ike_sa_negotiation_completed
ike_sa_completed
local_peer="ip-wan1 ID ip-wan1" remote_peer="ip-rem-host ID ip-rem-host" initiator_spi="3fb629e4 f781cd37"

responder_spi="90c8cf09 6c1563cb" int_severity=6

2012-04-24
10:43:28 Info IPSEC1800102 - - - - - ipsec_event
message="IPsec SA [Responder] negotiation failed:"

2012-04-24
10:43:28 Info IPSEC1802703 - - - - - ike_sa_negotiation_completed
ike_sa_completed
local_peer="ip-wan1 ID ip-wan1" remote_peer="ip-rem-host ID ip-rem-host" initiator_spi="3fb629e4 f781cd37"

responder_spi="90c8cf09 6c1563cb" int_severity=6

2012-04-24
10:43:28 Info IPSEC1800102 - - - - - ipsec_event
message=" Local Proxy ID ip-wan1 udp:1701"

2012-04-24
10:43:28 Info IPSEC1800102 - - - - - ipsec_event
message=" Remote Proxy ID ip-rem-host udp:1701"

2012-04-24
10:43:28 Warning IPSEC1803020 - - - - - ipsec_sa_failed
no_ipsec_sa
statusmsg="Timeout"

2012-04-24
10:43:28 Warning IPSEC1800109 - - - - - ike_quickmode_failed
local_ip=ip-wan1 remote_ip=ip-rem-host cookies=3fb629e4f781cd3790c8cf096c1563cb reason="Timeout"

2012-04-24
10:43:28 Info IPSEC1803021 - - - - - ipsec_sa_statistics
done=17 success=0 failed=17

2012-04-24
10:43:28 Info IPSEC1803024 - - - - - xauth_exchange_done
statusmsg="Authentication failed"

2012-04-24
10:43:31 Notice IPSEC1800105 - - - - - ike_delete_notification
local_ip=ip-wan1 remote_ip=ip-rem-host cookies=3fb629e4f781cd3790c8cf096c1563cb reason="Received delete

notification"

2012-04-24
10:43:31 Info IPSEC1802708 - - - - - ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x3fb629e4, AH=0xf781cd37, IPComp=0x90c8cf0"

2012-04-24
10:45:42 Info CONN600002 IPsecBeforeRules UDP wan1/core ip-rem-host/ip-wan1 500/500 conn_close
close
conn=close origsent=7640 termsent=0 conntime=195

_____________________________________________________________________________

Буду рад любым идеям ))))

Local net должен быть wan1_ip.
а Прошивка у вас заводская для RU или нормальная не урезанная?

пробовал с wan1_ip, разницы - никакой.
прошивка НЕ заводская, брал последнюю нерусскую с фтп.длинк, зовут её так 2.40.00.10-16817

разница есть, ибо lannet там точно не место =), остальное вроде бы всё верно.

И вы ещё писали что настраивали pptp и он работал, а он попрежнему настроен у вас сейчас на этой железке?, если да. то так нельзя, его надо удалить\отключить , т.к pptp и l2tp на одном интерфейсе одновременно работать не будет.

pptp и все связанные с ним настройки сейчас выключены (педалью "disable"), но ничего не удалено.

ок, щас ещё раз пробежался по настройкам, заметил что увас установлена галочка Add Route внутри IPSEC в закладке advanced, её надо точно убрать.

хм..., а где находится клинет XP с которого пытаетесь подключится(физически, т.е например внутри тойже сети что и дфл, или реально гдето в инете)?

Сейчас для отладки собран стенд, клиент из той же подсетки что и ван1 ДФЛ и на одном свитчике сидят. Адд роуте подправлю, благодарю. Но почему же они не могут, судя по логам, договориться об установке туннеля?

О чём они конкретно не могут договорится можно посмотреть только через IKESnoop(это по консоли или ssh), в обычном логе наверника можно понять разе что pre-shared ключ неправильный, там он об четко скажет, все остальные премудрости при правильных настройках со стороны дфл можно разглядеть через ikesnoop, заодно и сапорту длинк будет проще при виде ikesnoop'a если они подключатся вообще сюда =)

много букав в логе "икеснуп", всё сюда выложить или какую-то часть достаточно?

снятие галочки на роутинг я так понимаю не помогло =\ (именно на закладке Advanced, а не в закладке routing - тут она именно должна быть Dynam add route...)

Всю простыню от ikesnoop выкладывайте куда удобно, от текстовичка в любом облаке или прекрепите файл сюда, накрайняк можно прямо так в [code] запихнуть.
Только я не гуру по всем этим буковкам в снупе =)), что смогу помогу.... в любом случае если у вас все настройки на дфл верны, это единственный вариант выяснить что за косяк такой у вас.

p/s да, и покажите что у вас внутри IKE Algorithms: Medium и IPsec Algorithms: Medium., так же давайте отключим PFS (закладка IKE внутри Ipsec тунеля).

хехе! я страшно благодарен вам за подсказку. ситуация резко пошла на поправку после отключения PFS!
в логах сразу появилось внятное сообщение об ошибке, которое заставило меня поменять также в правиле аутентификации l2tp_rule интерфейс c ip_sec_for_l2tp на L2TP и всё заработало!
благодарю, туннель работает!

так вы там тунель указали вместо самого сервера =)) , я сколько раз ваше правило смотрел ,но это тоже упустил из виду ,тяжело по объектам которые чисто "написаны" ориентироваться, были бы скриншоты возможно все косяки гораздо раньше углядели бы.
В любом случае рад был помочь.