Схема IPSec lan-to-lan (внешние ip адреса статические, прошивка на DIR-140L последняя от 2013/05/16):

PC1(192.168.10.2) <-> LAN(192.168.10.0/24) DIR-140L WAN (в PPPoE) <-> DSL-2640U(в бридже) - Internet - WAN (PPPoE) DFL-260e LAN(192.168.20.0/24) <-> PC2(192.168.20.2)

В FAQ есть подробное описание, как настроить эти девайсы для организации IPSec туннеля между ними http://www.dlink.ru/ru/faq/92/850.html.
Все настройки производились по талмуту указанному выше. В результате получаем поднятый туннель, но удаленные узлы не пингуются как с одной стороны так и с другой.
Экспериментальным путем было выявлено, что если снять check с Enabled SPI в разделе advanced network у dir-140L то узлы становятся доступными, но одновременно не пингуются, т.е. бесконечный пинг выполняется только с одной стороны, в логах dfl:

ICMP fwA-ipsec 192.168.10.2 192.168.20.2 reverse_connect_attempt drop

Вопрос в следующем, возможно ли заставить пинги работать одновременно и каким образом? И что скрывает под собой опция Enabled SPI ?

Насколько я понимаю, на dfl нет разрешающего правила для входящих icmp-пакетов через туннель.
Про SPI: http://www.dlink.ru/ru/faq/69/310.html

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Спасибо за наводку про SPI.


Есть дефолтное разрешающее правило для пинга:

Name: ping_fw
Action: Allow
Service: ping-inbound
Source: lan/lannet
Destination: core/lan_ip

есть пару правил которые организуют хождение пакетов в туннель и из него:

Name: allow_all
Action: Allow
Service: all_services
Source: lan/lannet
Destination: fwA-ipsec/fwA-remotenet

Name: allow_all
Action: Allow
Service: all_services
Source: fwA-ipsec/fwA-remotenet
Destination: lan/lannet

и все это дело успешно работает если пинги запускать не одновременно с разных пиров, о чем свидетельствуют записи в логах dfl:

2013-06-30 19:47:50 allow_all ICMP lan/fwA-ipsec 192.168.20.2/192.168.10.2 conn_open
2013-06-30 19:48:02 allow_all ICMP lan/fwA-ipsec 192.168.20.2/192.168.10.2 conn_close close conn=close connsrcid=1 conndestid=1 origsent=240 termsent=240

2013-06-30 19:48:21 allow_all ICMP fwA-ipsec/lan 192.168.10.2/192.168.20.2 conn_open
2013-06-30 19:48:33 allow_all ICMP fwA-ipsec/lan 192.168.10.2/192.168.20.2 conn_close close conn=close connsrcid=1 conndestid=1 origsent=240 termsent=240

При одновременном запуске пингов в логах видим следующее:

2013-06-30 19:49:40 Warning CONN 600015 LogReverseOpens ICMP lan/lan 192.168.20.2/192.168.10.2 reverse_connect_attempt drop connsrcid=1 conndestid=1 origsent=120 termsent=180 ipdatalen=40 icmptype=ECHO_REQUEST echoid=1 echoseq=37
...
...

результат единовременно отклик получаем только от одного пира.

Поднимал pptp туннель на двух dfl таких проблем не было.

правило ваше . действиттельно только для Lannet.

сервис пинга в All-nets не входит .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Из документации (NetDefendOS_2.27.02_Log_Reference_Guide):
2.8.11. reverse_connect_attempt (ID: 00600015)
Explanation
State inspector does not allow this packet in reverse direction on the
already opened connection. This type of packet is only allowed to be
sent by the originator of a connection. Dropping the packet.


Вроде как есть и такое правило


но все равно не работает (

а теперь словами расскажите что гласит это правило ?! не сочтите за труд .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Если коротко то для исходящего сервиса пинга из локальной сети во внешнюю применять преобразование адресов.
Те чтобы при пинге любого внешнего адреса за NAT ответ (icmp) приходил инициатору пинга, вообщем что бы пинг работал корректно и давал отклик.

я перефразирую ,
разрешон пинг с интерфейса LAN сети LANNET на интерфейс WAN и любая сеть лежащая за этим интерфейсом

кажется так получается?
где вы увидели интерфейс вашего ИПСЕКА ?
если хотите то сделайте правило с параметрами

any\all-net any\all-net
поместите правило в корень , и в самый верх

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Получилось, пинги заработали, благодарю за помощь.

для пущей понятности .всегда проговаривайте правила в слух , понятней будет что сами делаете .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Добрый день!
А у меня не заработали одновременно. Только по очереди.
Верное ли правило в корне?
Name Action Src If Src Net Dest If Dest Net Service
ping_vpn Allow any all-nets any all-nets ping-outbound

ping_vpn NAT any all-nets any all-nets ping-outbound

попробуйте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Заработало, спасибо!
А вот с этим http://forum.dlink.ru/viewtopic.php?f=3&t=162650 можете помочь?