В каких логах смотреть? в статус\маршруты отображаются те же самые маршруты, что и в таблице main.

Ой, статус соединения.
Можете тёк же пинать пинг на какой нибудь хост за туннелем и смотреть лезут ли пакеты в туннель.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Не, не нормально.

Обратите внимание на параметры:
IKE Lifetime
IPSec Lifetime

Они должны попарно совпадать с обоих концов тоннеля. У Вас же они разные.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И еще во вкладке
Network» IPsec» VPN and Tunnels» Interfaces and VPN» Amma

мне не нравится Amma_GRE в качестве Source Interface

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

И, собственно, самый главный вопрос - а зачем пулять GRE поверх IPSec ? В чем сакральный смысл?
Почему недостаточно просто IPSec ?

Я конечно имел опыт извращений в особо жесткой форме, когда тоннель pptp было необходимо запихнуть внутрь другого тоннеля pptp, и потом ради спортивного интереса я это запихнул еще и в третий тоннель pptp. Пропускная способность была, конечно, никакущая, но таки я это сделал.

Но тут то зачем такой огород городить? Вам правда это нужно?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

А можете еще показать настройки со стороны фряхи?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Спасибо за наводку!) Пинговал, смотрел - там нет соединений...

Доброго утра, добрые люди!
Amma_GRE в качестве Source Interface выбрал, так как подумал, что в ipsec нам надо запихнуть gre...или надо выбирать wan?
GRE поверх IPSec - такое решение было принято на другом конце туннеля...нужно лишь для работы в 1С через remoteApp, но для этого надо будет сделать чтобы и домены наши могли совместно работать
Еще смущает отсутствие на DFL таких параметров, как Local и Remote ID типа FQDN...
Настройки FreeBSD (которые мне сообщили):
#создаем туннель
ifconfig gre20 create
ifconfig gre20 10.254.0.81 netmask 255.255.255.0
ifconfig gre20 tunnel 195.16.116.20* 178.173.24.7*
#настройки FreeBsd
Racoon.conf
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete

padding # options are not to be changed
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}

timer #timing options. change as needed
{
counter 5;
interval 20 sec;
persend 1;
# natt_keepalive 15 sec;
phase1 30 sec;
phase2 15 sec;
}

listen # address [port] that racoon will listen on
{
isakmp 195.16.116.20* [500];
# isakmp_natt 172.16.5.4 [4500];
}

remote 178.173.24.7*
{
exchange_mode aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier fqdn "routertopet";
peers_identifier fqdn "Pet-FW";
lifetime time 8 hour;
passive off;
proposal_check obey;
generate_policy off;

proposal {
encryption_algorithm des;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 30 sec;
dh_group modp1024;
}
}


sainfo address 178.173.24.7*/32 any address 195.16.116.20*/32 any #address $network/$netmask $type address $networ
{ #$network must be the two internal networks you are joini
pfs_group modp1024;
lifetime time 86400 sec;
encryption_algorithm des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 195.16.116.20*/32 any address 178.173.24.7*/32 any #address $network/$netmask $type address $networ
{ #$network must be the two internal networks you are joini
pfs_group modp1024;
lifetime time 86400 sec;
encryption_algorithm des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
/usr/local/etc/racoon/psk.txt
178.173.24.7* 0xd7d8d225222

/tmp/temp_ipsec.conf
##This is automatic generated config from ipfw_main.sh script. By VeN.########
flush;
spdflush;
spdadd gre/32 /32 -P out ipsec esp/tunnel/gre-/require;
spdadd /32 gre/32 -P in ipsec esp/tunnel/-gre/require;

dns:FQDN
Прекрасно работает

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

И давно. dns:FQDN.mysite.ru . Только DNS серверы на DFL указать надо.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не очень понял, что вы имеете в виду))) На скриншоте выделил похожий параметр. Мне надо выбирать DNS и вводить данные из настроек роутера? Просто там указали совсем какие-то произвольные значения.
И еще там нет параметра Remote ID...
А где и какие надо указывать DNS серверы на DFL?

Точка приземления туннеля называется Remote Endpoint: или подобным образом. Во вкладке General. Там и надо указывать DNS имя в указанном формате.

DNS серверы указываются в System -> DNS. Неплохая идея - взять красивые адреса типа 8.8.8.8 и 8.8.4.4.
Приложенный скриншот тоже не понятно для чего.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.