2 Сети:

192.168.0.0/24

и 192.168.10.0/24

2 внешних адреса на железяках.

Настроен IPSec - Соединение идет, но не получается проверить его, видимо. Вот логи:

2013-05-07
18:03:02 Info IPSEC
1803021


ipsec_sa_statistics
done=2903 success=93 failed=2810
2013-05-07
18:03:02 Warning IPSEC
1800109


ike_quickmode_failed
local_ip=10.*.*.* remote_ip=10.*.*.* cookies=0aed238f8c1b0cbb6fc6bc78be6edfa9 reason="No proposal chosen"
2013-05-07
18:03:02 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2013-05-07
18:03:02 Info IPSEC
1800102


ipsec_event
message=" Remote Proxy ID 10.248.70.0/24 any"
2013-05-07
18:03:02 Info IPSEC
1800102


ipsec_event
message=" Local Proxy ID 10.249.1.0/24 any"
2013-05-07
18:03:02 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="10.*.*.* ID 10.*.*.*" remote_peer="10.*.*.* ID 10.*.*.*" initiator_spi="0aed238f 8c1b0cbb" responder_spi="6fc6bc78 be6edfa9" int_severity=6

При этом большие потери (ошибки) как я понимаю. Пытался устройства друг с другом соединить - те же ошибки.

При этом хотел избавиться от старой DFL-ки и перенести на новую все настройки - перенес, но коннекта с такой же старой DFL на другом конце провода так же нет.

Файлы с правилами прикладываю.

Пинги между железками есть.

какие прошивки на устройствах ?!
попробуйте увеличить MTU до 2000 в туннелях .
туннели установились ?! задвоения их нет ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Прошивки последние поставил, с ftp скачал.

Туннели установились - сети показал удаленные. Что есть задвоения? MTU сейчас поставлю, попробую..

Поставил 2000 - ничего не поменялось. Ошибки так и сыпятся. Странно, что даже на прямую не работает.

Тут поправочка на другой стороне DFL260E - но это сути не меняет, просто портов LAN меньше и один WAN

прошивки RU или WW?
версии прошивок - последние понятие растяжимое

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Одна:

DFL-260E_A1_FW_v2.27.06.10-Russian-upgrade

Model: DFL-260E
System Time: 2013-05-07 18:52:30
Uptime: 0 days, 00:22:47
Configuration: Version 112
Firmware Version: 2.27.06.10-19067
Oct 1 2012

Вторая:

DFL-860E_A1_FW_v2.27.06.10-Russian-upgrade

Model: DFL-860E
System Time: 2013-05-07 18:51:37
Uptime: 0 days, 00:26:51
Configuration: Version 72
Firmware Version: 2.27.06.10-19068
Oct 1 2012

Поэтому и глюки. Шейте WW.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Firmware: DFL-860E A1 FW v2.40.02.12(for WW)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не подскажите, где взять актуальные прошивки без Russian? Заранее благодарен!!

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Прошил...Туннель с одной стороны вроде бы заработал. С другой не пингает, буду с правилами разбираться. Ошибки так и лезут. Буду завтра разбираться. Заранее спасибо!

Итак тоннель поднялся! Но ошибки так и лезут...

local_ip=10.248.12.29 remote_ip=10.244.127.202 cookies=fe39e8d989f6f432ff8d5a9da814ee12 reason="No proposal chosen"
2013-05-08
10:04:49 Warning IPSEC
1803020


ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2013-05-08
10:04:49 Info IPSEC
1800102


ipsec_event
message=" Remote Proxy ID 10.*.*.*/24 any"
2013-05-08
10:04:49 Info IPSEC
1800102


ipsec_event
message=" Local Proxy ID 10.*.*.*/24 any"
2013-05-08
10:04:49 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="10.*.*.* ID usr@fqdn(any:0,[0..22]=kot@****" remote_peer="10.*.*.* ID usr@fqdn(any:0,[0..22]=kot@****" initiator_spi="fe39e8d9 89f6f432" responder_spi="ff8d5a9d a814ee12" int_severity=6


Не могут установить толком связь, я так понимаю. При этом с одной DFL сеть другой видна, а со второй сеть первой - нет.

Итак туннели так и не заработали...Есть у кого-нибудь ещё идеи из-за чего могут сыпаться ошибки?

Итак опытным путем выяснено:

С первой DFL локальная сеть второй и внутренний шлюз - видны.
Со второй пингается только внутренний IP первой DFL.
Правила с двух сторон настроены одинаковые.

Есть какие-нибудь способы проверить почему не идет связь дальше первой DFL, со стороны второй?

перепроверить правила.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...