Здравствуйте, уважаемые форумчане.
Подскажите, есть ли у кого-нибудб опыт состыковки DFL-260 и Cisco по ipsec.
Приобрел два D-Link DFL-260, успешно состыковал их по ipsec. Заменил один D-Link на Cisco, но туннель не хочет подниматься.

Настройки на D-link стандартные (IKE esp,md5,sha1;IPSEC esp,md5,sha1). На CIsco ipsec необходимо подключить в vrf, конфиг такой:

crypto keyring dlink vrf test
pre-shared-key address 192.168.253.57 key 1234

crypto isakmp policy 30
hash md5
authentication pre-share
group 2

crypto isakmp profile dlink
vrf NOC
keyring dlink
match identity address 192.168.253.57 255.255.255.255

crypto ipsec transform-set dlink esp-des esp-sha-hmac

crypto map tunnel 10 ipsec-isakmp
set peer 192.168.253.57
set transform-set dlink
set isakmp-profile dlink
match address 102

access-list 102 permit ip host 192.168.253.81 any

Все адреса указаны верно. Debug Cisco показывает, сто какая-то проблема с ключами:
Sep 19 21:34:45.090 UTC: ISAKMP:(0:2:SW:1): sending packet to 192.168.253.57 my_port 500 peer_port 500 (R) MM_KEY_EXCH
Sep 19 21:34:45.090 UTC: ISAKMP:(0:2:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Sep 19 21:34:45.090 UTC: ISAKMP:(0:2:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM4

Sep 19 21:34:45.122 UTC: ISAKMP (0:134217730): received packet from 192.168.253.57 dport 500 sport 500 NOC (R) MM_KEY_EXCH
Sep 19 21:34:45.122 UTC: ISAKMP: reserved not zero on ID payload!

Может быть, кто-нибудь поделится рабочим конфигом для Cisco, так как я, честно говоря, не большой специалист ipsec.
Спасибо.

Неужели никто не состыковывал их?

Покажите параметры туннеля на DFL

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

IKE алгоритм standart (des,md5,sha1)
IPSec алгоритм такой жe
IKE Lifetime 28800
Ipsec lifetime 3660
аутентификация pre-shared key
x-authentification off
keepalive off

Прошивка урезанная, может быть подскажете, где можно скачать полную.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Прошивку надо обновлять, верно - скорее всего Cisco "хочет" 3DES

Однако, логика работы IPsec на Cisco требует как минимум чтобы с туннелем был ассоциирован отдельный IP (указывается в Routing > IP address > Specity manually), ну а дальше по ситуации

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо за советы. Пока попробовал обновиться на WW прошивку. Но расширенные методы шифрования так и не появились! Все равно остаются неактивными. Неужели D-Link зашил эти фичи в hardware или есть какая-то хитрость?

Создал новый метод шифрования с 3des, вместо medium. Вроде не ругнулся, продолжаю эксперимент.

Есть там все в прошивке WW.
Это RU у нас тут кастрированная по самые помидоры по милости "регуляторов".

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...