Здравствуйте!

Возникла проблема с настройкой туннеля
DFL-860e:


Все настройки производились по этой статье на хабре (скрываю под спойлер, чтобы за рекламу не считалось):


Исходные данные
Удаленный сервер WIN2K8R2:

DFL-860e:


Далее, собственно, все по статье делалось.
В DFL-860e:

• Создан ключ pre-shared key
• Созданы IP-адреса всех точек в сети в адресной книге
• Созданы алгоритмы в VPN Objects\IKE Algoritms
• Созданы алгоритмы в VPN Objects\IPsec Algoritms
• Создан сам туннель IPsec в разделе Interfasec
• Добавлены IP-правила, разрешающее трафик в обе стороны

На WIN2K8R2:

• Добавлена роль "Маршрутизация и удаленный доступ"
• Добавлено правило в брандмауэр Windows с IP адресами
• Вписан ключ presharedkey

Результаты: пингов нет. Обмен ключами, видимо, происходит, т.к. при попытке доступа к серверу из локальной сети DFL в брандмауэре Windows, в разделе "Наблюдение"/"Основной режим" появляются некие записи.

Алгоритмы шифрования пробовались следующие:

• Целостность SHA-1, шифрование AES-128
• Целостность SHA-1, шифрование 3DES

Предполагая вопросы, скажу, что на Windows Server 2012 ситуация была та же.
Есть какие-либо нюансы, которые я не учел?

ПС: NAT'a между точками нет, IP-адреса белые

есть - обновляйте прошивку на WW.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А можно ссылочку на прошивку?

На Windows Server 2012 заработал туннель в одностороннем порядке: пинги с DFL до сервера есть, с сервера до DFL - отсутствуют.
В локальной сети DFL сервер 2012 видно
В локальной сети сервера 2012 клиентские машины в сети DFL не видно

ну значит туннель поднялся , дальше правила рисуйте .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Проблема с настройкой именно на Windows Server 2008. На моей прошивке 2.40.02.12 полный функционал (не урезанный) по шифрованию.

Если на DFL в Satus/IPSEC под IPsec SAs что-то есть, значит туннель успешно поднялся.
Так что пингуется, что нет во всех комбинациях "DFL", "Комп за DFL" <-> "Win Server", "Комп за Win Server"?
DFL не будет пинговаться, если нет соответствующего правила -- создайте.
Компьютер не будет пинговаться 1) если блокирует антивирус или файрволл (при этом из своей локалки он может пинговаться!); 2) Если нет маршрута на удаленную сеть, а маршрут по умолчанию не на VPN-шлюз (т. е. либо Ваш сервер должен быть также шлюзом в Интернет, либо придется прописывать дополнительный маршрут на компьютерах).

В DFL в статусе есть строчка


Конфигурация с Windows Server 2012 не рассматривается, т.к. доступен по факту только 2008.
Но на 2012, установленном временно, была следующая ситуация:
DFL

1. DFL -> Win 2012 srv: да
2. DFL -> Комп за Win 2012 srv: нет
3. Комп за DFL -> Win 2012 srv: да
4. Комп за DFL -> Комп за Win 2012 srv: нет

Win server

1. Win 2012 srv -> DFL: нет
2. Win 2012 srv -> Комп за DFL: нет
3. Комп за Win 2012 srv -> DFL: нет
4. Комп за Win 2012 srv -> Комп за DFL: нет

На Windows Server 2008 с идентичными настройками везде "НЕТ".
В обоих случаях, в брандмауэре Windows Server создаются записи в разделе "Наблюдение->Сопоставление безопасности->Основной режим" и "Наблюдение->Сопоставление безопасности->Дополнительный режим"

По поводу вашего сообщения касательно правил и фаерволлов:
На компьютерах за DFL антивирус - Microsoft Essential (не управляет сетевым трафиком), брандмауэр Windows отключен

Пробовал вручную прописывать маршрут на Win server: маршрут до сети 192.168.50.0/24 через шлюз 32.194.291.20 (внешний IP адрес Win server)
На компьютере за DFL прописывал маршрут до сети 192.168.49.0/24 через шлюз 94.128.49.21 (внешний IP адрес DFL)

По факту Win server имеет два сетевых интерфейса - в локальную сеть и в интернет:

в локальную сеть 192.168.49.2
в интернет 32.194.291.20

Результаты те же - пингов нет

В маршрутах должны быть внутренние адреса маршрутизаторов шлюзами (как Вы вообще ухитрились прописать внешние -- route add должна была выдать ошибку). И, как я уже отмечал, если маршрутизатор VPN == маршрутизатору Интернет, то дополнительный маршрут не нужен.
В целом, проблема у Вас, скорее всего, не в DFL, а в Винде. Но если Вы путаете внешние и внутренние адреса...

Я их не путаю. Прочитав ваше сообщение, решил попробовать

Для диагностики маршрутизации существует команда tracert .
Для того, чтобы проверить, что на клиентских компах ничего не блокирует, можно попинговать железку, такую как сетевой принтер, простейший маршрутизатор или модем (не забыв настроить ему маршрут по умолчанию на VPN-шлюз).

начинает перваливать в раздел что сделал - сам не понял .....

ТС
1. скрин правил с DFL по отношению к туннелю
2. скрин о том что туннель поднялся ( IPsec-status)
3 скрин таблицы маршрутизации
добавить правило
И поставить в самый корень папки с правилами
1 NAT any / all-nets any /all-nets ping-outbound


с компа за DFL сделать
tracert -d <комп за WIN>

на ВИН разрешить траффик в туннель , и сделать тоже самое.
tracert -d <комп за DFL>


все выхлопы под споллеры ......

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Если не против автор.
Примерно такая-же ситуация.
DFL-260 и сеть за ним, удаленный 2008 с одним сетевым интерфейсом с внешним IP.
Назначил второй (серый) ip серверу, поднял туннель как в ссылке выше. За роутером компы отлично видят сервер по серому ip через туннель.
Обратно - ни в какую, но надо, поскольку хочется сервер ввести в домен.
Есть подозрение что сервер ломиться в сеть за роутер с белым IP а не через туннель. Статический маршрут с указанием серого ip как шлюза в сеть за роутером начинает пинговать внутренний ip роутера, но не более и теряется траффик в другую сторону.
Разрешающие правила на серваке что они есть, что нет... что делать ума не приложу...

1) Почитать учебник по сетям, раздел "Маршрутизация в IP".
2) Внимательно прочитать хотя бы эту тему -- особенно обратить внимание, что компьютеры могут не пинговаться по вине антивируса и т. п.
3) Проверить ACL для IPSec-туннеля.
3) Проверить разрешающие правила на DFL (для простоты начните с Allow для all-services в обе стороны)
4) Если перечисленное не помогло найти проблему, выложить сюда скриншоты всех настроек с обеих сторон и надеется, что найдется человек, кому не лень будет искать в этом Ваш баг.

Я не думаю что проблема в настройках роутера - туннель работает.
Как серверу с одним интерфейсом и двумя ip объяснить куда гнать траффик для туннеля?
У роутера для этого виртуальный интерфейс поднимается... и учебник по маршрутизации прекрасно рулит, а тут нет нифига

Туннель не может быть на одном интерфейсе, даже в Винде -- там тоже виртуальный интерфейс. На виндовом сервере есть одна особенность -- маршрутизацией занимается либо ядро, либо RRAS, не нужно это смешивать, получаются глюки. Если поднята RRAS, маршруты нужно задавать в консоли RRAS, а не командой route add, она туннельный интерфейс, кажется, действительно не видит. По крайней мере, так в Server 2003.