При настройке IPSec есть проблема...
С одной стороны находиться DFL 200 в DMZ ISA Servera 2000 с другой стороны DI 808HV. IPSec не подымаеться, в логах DFL 200:

[2005-10-11 17:26:22] <3>EFW: IPSEC: prio=4 SPD rejected conn using selectors unknown(any:0,[0..0]=)(ipv4(any:0,[0..3]=194.125.227.155)) <-> (ipv4(any:0,[0..3]=194.125.227.152))unknown(any:0,[0..0]=)

[2005-10-11 17:26:22] <4>EFW: IPSEC: prio=3 SPD Phase-1 policy [responder]; Can not get policy for ipv4(any:0,[0..3]=194.125.227.155) <-> ipv4(any:0,[0..3]=194.125.227.152)

[2005-10-11 17:26:22] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=194.125.227.152 connsrcport=34215 conndestif=core conndestip=194.125.227.155 conndestport=500

Где 194.152.227.155 WAN DFL 200, а 194.125.227.152 адрес на второй сетевой карте ISA Servera

Подробнее пожалуйста - как настраивали IPSec.

Благодарю что отозвались!!!
IPSec уже поднялся... На обоих устройствах и в логах и в статусе пишет что соединение установлено но сеть за устройствами не видна.
Что касаеться настроек они таковы:
192.168.0.0/24 --->>> ISA Server--->194.125.227.133-->> ADSL modem-->> inet.
На второй сетевой карте в DMZ ISA адрес 194.125.227.152 который и являеться GW для DFL 200.
На DFL 200 wan 194.125.227.155 gw 194.125.227.152 dns1 192.168.0.1 и dns2 192.168.0.5. При этом 192.168.0.5 являеться адресом на ISA servere со стороны внутренней сети.
Lan DFL 200 192.168.0.13.

На стороне DI 808HV wan 85.202.168.167 и lan 192.168.3.0/24

192.168.0.5->ISA->194.125.227.133->adsl->inet
|
DMZ->194.125.227.152
|
Lan 192.168.0.13-> DFL-200 wan 194.125.227.155
GW 194.125.227.152
dns 192.168.0.1, 5
Также на ISA открыл 500 порты UDP TCP на 194,15,227,155 адрес.
Что касаеться настроек непосредственно IPSec на устройствах то они стандартные:
DFL 200
Authentication:

PSK - Pre-Shared Key
LAN-to-LAN tunnel
Remote Net: 192.168.3.0/24
Remote Gateway: 85.202.168.167
IKE DH Group 5 modp
PFS DH Group 5 modp
и дальше ипользуеться 3DES в обоих настройкая

DI 808HV настройки такие же!!!

Т.е. сейчас Вы можете пинговать LAN-интерфейс противоположного девайса?

Нет не могу пинговать lan интерфейсы подсетей

Пропишите шлюзом для пользователей DFL-200

Прописал, результата нет!!!

куда идет трейс с обоих сторон туннеля в противоположную сеть?

_________________
С уважением -- Александр Шебаронин.

трейса совсем не видно, и с DFL 200 если пинговать другую сеть тоже нет пинга. Также и в обратную сторону

А с DFL-200 пингуется ли LAN-интерфейс противоположной стороны? Проверьте, есть ли галочка в глобальных настройках полиси на 200ом Allow all VPN traffic. Проверьте еще раз маршрутизацию с обоих сторон.

_________________
С уважением -- Александр Шебаронин.

Да там все стоит. При просмотри логов Packet Filters Properties на ISA сервере видно что ISA разрешает соединение по 500 UDP между двумя честными адресами и при этом идет запрет на 50 протокол. Я так понимаю это ESP. Как с этим бороться. В ISA нет такого протокола что бы разрешить !!!