Здравствуйте, имеется точка А и точка Б
В точке А установлен DFL-860eв точке Б DSL-G804V
В точке а ip статический в точке Б динамический
Есть ли возможность установки ipsec между этими точками если DSL-G804V будет инициировать подключение к DFL а он в свою очередь его принимать?

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Посмотрите руководство http://dlink.ru/ru/faq/92/927.html

Это руоводство я смотрел уже несколько раз, но в нем настраивается di-804 а тут все же несколько другие настройки. и к тому же сервер уже настроен, а нужно настроить устройство которое будет инициировать подключение.

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

вот что пишет в логах дфл
2012-11-18
16:25:31 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xaef34513, AH=0x36787bf9, IPComp=0x8bebff9"
2012-11-18
16:25:31 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="No proposal chosen" local_peer="10.188.148.183 ID No Id" remote_peer="178.66.5.200 ID 178.66.5.200" initiator_spi="ESP=0xaef34513, AH=0x36787bf9, IPComp=0x8bebff9e"
2012-11-18
16:25:31 Warning IPSEC
1802715


event_on_ike_sa
side=Responder msg="failed" int_severity=6
2012-11-18
16:25:31 Warning IPSEC
1800107


ike_invalid_proposal
local_ip=10.188.148.183 remote_ip=178.66.5.200 cookies=aef3451336787bf98bebff9e91789deb reason="Could not find acceptable proposal"

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

У вас устройство "DFL-860eв" находится за NAT'ом ?

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

Нет. 860 имеет публичный статический ip

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Чей же тогда "local_ip=10.188.148.183"? Ведь он принадлежит "Private IPv4 address spaces". Может схему нарисуете?

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.

10.188.148.183 это ip на стороне ван интерфейса dfl, на него провайдер пересылает запросы поступившие на внешний ip. Думаю примерно хоть обьяснил. Питерский провайдер интерзет.

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Это называется "серый IP". Ваш фактический (он же публичный) IP можете узнать на любом сайте, который показывает ваш IP. Например, http://www.whatsmyip.org/. Или любой другой сайт - дело вкуса. И он будет явно не 10.188.148.183.

Так вот, Интернет видит вас (т.е. устройство DFL-860eв) не как 10.188.148.183, а как внешний IP, его вам покажет указанный выше сайт. Это означает, что в IP-пакете, который движется от DFL-860eв в сторону Интернета, перед выходом его в Интернет производится замена адреса 10.188.148.183 (поле source) на публичный IP. Такая процедура назывется NAT. А сам хост, в пакетах которого меняется source-адрес (в данном случае DFL-860eв), называют "за NAT'ом".

В результате получается, что вы хотите терминировать IPSec за NAT'ом. Да, это возможно, если оба устройства поддерживают технологию IPSec NAT-T (NAT-Traversal).

Официально в России устройство DSL-G804V не поддерживает IPSec NAT-T.
Вот пара официальных ответов по поводу IPSec NAT-T в устройстве DSL-G804V:
viewtopic.php?p=550813#p550813
viewtopic.php?p=566337#p566337

Однако австралийское подразделение компании D-Link имеет другую точку зрения по данному вопросу (и, вероятно, другую прошивку).
Более того, у них на сайте имеется даже небольшая инструкция, о том, как вязать IPSec через NAT: ftp://files.dlink.com.au/products/dsl-G ... nd_NAT.pdf

От себя могу лишь добавить, что в прошивке 1.00.08.dm15 действительно присутствуют команды в CLI, которыми можно выставить эти самые "Local ID" и "Remote ID", но проверять их на "корректность" мне не доводилось.

_________________
Использую DSL-G804V в качестве Ethernet-маршрутизатора.