а вот сегодняшние логи (подключался с 804-го на 808-й):

1. DI-804HV
WAN Type: Static IP Address (V1.42)
Display time: Wednesday January 11, 2006 10:08:49

Wednesday January 11, 2006 10:05:10 Send IKE M1(INIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Receive IKE M2(RESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Wednesday January 11, 2006 10:05:11 Send IKE M3(KEYINIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Receive IKE M4(KEYRESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 Send IKE M5(IDINIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Receive IKE M6(IDRESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 IKE Phase1 (ISAKMP SA) established : 193.27.80.107 <-> 193.27.80.98
Wednesday January 11, 2006 10:05:11 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.107.0
Wednesday January 11, 2006 10:05:16 IKED re-TX : QINIT to 193.27.80.107
Wednesday January 11, 2006 10:05:21 IKED re-TX : QINIT to 193.27.80.107
Wednesday January 11, 2006 10:05:31 IKED re-TX : QINIT to 193.27.80.107
Wednesday January 11, 2006 10:05:41 IKED re-TX : QINIT to 193.27.80.107
Wednesday January 11, 2006 10:06:01 IKED re-TX : QINIT to 193.27.80.107
Wednesday January 11, 2006 10:06:02 Send IKE (INFO) : delete [192.168.1.0|193.27.80.98]-->[193.27.80.107|192.168.107.0] phase 2
Wednesday January 11, 2006 10:06:02 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.107.0
Wednesday January 11, 2006 10:06:02 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.107.0
Wednesday January 11, 2006 10:06:02 inbound SPI = 0x2000010, outbound SPI = 0x0

2. DI-808HV
WAN Type: Static IP Address (V1.41)
Display time: Wednesday January 11, 2006 10:09:57

Wednesday January 11, 2006 10:05:11 Receive IKE M1(INIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Wednesday January 11, 2006 10:05:11 Send IKE M2(RESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 Receive IKE M3(KEYINIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Send IKE M4(KEYRESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 Receive IKE M5(IDINIT) : 193.27.80.98 --> 193.27.80.107
Wednesday January 11, 2006 10:05:11 Send IKE M6(IDRESP) : 193.27.80.107 --> 193.27.80.98
Wednesday January 11, 2006 10:05:11 IKE Phase1 (ISAKMP SA) established : 193.27.80.107 <-> 193.27.80.98
Wednesday January 11, 2006 10:05:12 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:05:12 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:05:17 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:05:17 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:05:22 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:05:22 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:05:32 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:05:32 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:05:31 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:05:41 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:05:41 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:06:01 Receive IKE Q1(QINIT) : [193.27.80.98]-->[193.27.80.107]
Wednesday January 11, 2006 10:06:01 SPD Error : not found [192.168.1.0]<->[192.168.107.0] from peer IP address 193.27.80.98
Wednesday January 11, 2006 10:06:02 Receive IKE INFO : 193.27.80.98 --> 193.27.80.107

P.S. По поводу прошивок: на 804 стоит последняя(1.42), на 808-й - 1.41 это при том что на русском фтп, что на доткоме лежит 1.40

Ну так уже лучше

У Вас на 808-ом так настроено?:
Local Subnet 192.168.107.0
Local Netmask 255.255.255.0
Remote Subnet 192.168.1.0
Remote Netmask 255.255.255.0
Remote Gateway 193.27.80.98
Остальные параметры одинаковые или если они "парные", то перекрёстно одинаковые, да?

PSK перебивали?

Рискну предположить, что прошивки для 804 и 808 совпадают. Уточните и может перешейте 808-ой на 1.42 ?

Точно.


хм. про парные/перекресные не совсем понял о чем речь....


Угу. поставил 123 куда уж проще


Знаете как-то стремно в 808-ю лить прошивку от 804-й тем более что девайс взят на тестрование у поставщика....

Под перекрёстно одинаковыми я имел ввиду, что SubNet, NetMask и SPI (это только в режиме MANUAL-ключей) должны быть Local 1 = Remote 2 и Local 2 = Remote 1. Понятно? Ну посмотрите на свои Local и Remote Subnet - они между двумя роутерами "равны крест на крест", что собственно и понятно.

А "под кнопками" IKE Proposal Index и IPSec Proposal Index у Вас на обеих сторонах всё одинаково?
Строка "ID Proposal Name DH Group Encrypt algorithm Auth algorithm Life Time Life Time Unit" одинакова с обеих сторон?
И номер этой строки выбран внизу в строке "Proposal ID" и нажато "Add to Proposal index"?
И номер этой строки теперь светится вверху в окошке "IKE Proposal index"? Он там один? Или их там много и разные на разных роутерах?
Поставьте только по одной строке в "IKE Proposal index" и чтобы они были одинаковы с обеих сторон туннеля.

Тоже самое и для "IPSec Proposal Index".

P.S. "Proposal Name" это просто имя, которое светится вверху в окошке, оно может быть разным с разных сторон (но смысл? Я ставлю одинаковое, чтобы не путаться). Главное то, что "под этим именем" определено.

Теперь ясно. да конечно все как положено. одна локалка смотрит на другой ремоут и наоборот...


да. ту все одинаково. кстати значения по времени жизни ставил как в факе.


Аналогично

Вопчем-то в етих настройках разве что совсем тупой запутаеться... однако же не работает....

Ну тогда берите в руки снифер и "суйте" его в WAN. Хотя в IKE и IPSec снифером "вглубь" особо не залезешь, видно только что пакеты бегают и какие, а внутренности непонятны.

Ну и ещё остаются 2 варианта - дохлый и несовместимость версий.

Все разрешилось. Проблема была в прошивках. после установки версии V1.42b07 на оба устройства, все заработало.
Огромное СПАСИБО Ивану Мартынюку из киевского представительства D-Link!

Прочитал я всё это и посмеялся. Проблема как не была разрешена, так и осталась...
В начале то про что говорилось? ПОДКЛЮЧИТЬ DI-804HV к VPN на Windows 2003 Server!!! Т.е. после всего этого выходит что это не возможно?!!!
У меня аналогичная проблема и соединяю я не домашнюю сеть с офисом (для этого есть и более дешёвые и надёжные средства), а одно из подразделений к офису...
На уровне комп (с маршрутизацией по внутренней сети) - server VPN W2k3 всё ОК. На уровне DI-804HV - server VPN W2k3 полная ж..а. .
Обходные варианты типа D-Link - D-Link меня не интересуют. Я лучше тогда посмотрю других производителей и клиентам своим посоветую. Благо я эти устройства продаю. Так что на это скажут специалисты от D-Link?

чессно говоря я уже и не пробовал сединять ети устройства с win2003 сервером. но чисто из спортивного интереса попытаюсь....

А что тут сказать? Вы же никаких данных не привели.
А представьте, если оно таки работает с Win2003, а Вы "впустую наезжаете"? Они на это резонно ответят "у нас работает" и будут правы.

У меня те же самые симптомы и сообщения, что и у vrough (см. выше).
Если специалисты D-Link скажут что "у них всё работает" (не лукавя), то это уже что-то. По кране мере будешь знать что это возможно и ты не впустую тратишь время пытаясь это сделать. С другой стороны, в этом случае, что им мешает написать инструкцию как это сделать? Ссылка на настройку для "Windows 2000 server" и "WinXP" как видите не помогла, либо у Windows 2003 есть свои особенности в этом плане, либо, что скорее всего, они забыли о чём-то упомянуть в инструкции. В любом из этих случаев "наезды" не впустую. Есть проблема и её нужно решить, к кому же обращаться как не к производителю?
Хотелось бы всё таки узнать мнение по сабжу у специалистов D-Link.

UP !!!

to ZeroNull
Полность потдерживаю!
Оченно хотелось бы услышать ответ от производителя!
Ниже провожу свою конфигурацию:
Обарудование:
DI-824V+EEUA1 (v105b06- прошивка на момент написания) далее - DI
Wan 10.0.1.253/29
Lan 192.168.1.254/24
192.168.1.0/24 локальнывя сетка за DI

комп с Windows Server 2003 Enterprise Edition SP1 (сетивухи обе RTL8139) далее - SRV
Wan 10.0.1.254/29
Lan 192.168.0.254/24
192.168.0.0/24 локальнывя сетка за SRV
Собрано на прямую:
Lan [DI] Wan <--------> Wan [SRV] Lan

НАСТРОЙКИ НА СТОРОНЕ - DI
################
VPN - Enable
ID Tunnel Name Method
1 Office IKE
-> More
Tunnel Name - Office
Aggressive Mode - Disable
Local Subnet - 192.168.1.0
Local Netmask - 255.255.255.0
Remote Subnet - 192.168.0.0
Remote Netmask - 255.255.255.0
Remote Gateway - 10.0.1.254
IKE Keep Alive - пусто
Preshare Key - "ключ"
Extended Authentication (xAUTH) - Disable
IPSec NAT Traversal - Disable
Remote ID Type IP AddressFQDNUser FQDN - Пусто
Local ID Type IP AddressFQDNUser FQDN - Пусто

->IKE Proposal Index
IKE Proposal index - office

ID Proposal Name DH Group Encrypt algorithm Auth algorithm Life Time Life Time Unit
1 office Group 2 3DES MD5 3600 Sec.

->IPSec Proposal Index
IPSec Proposal index - office

ID Proposal Name DH Group Encap protocol Encrypt algorithm Auth algorithm Life Time Life Time Unit
1 office Group 2 ESP 3DES MD5 3600 Sec

##################

НАСТРОЙКИ НА СТОРОНЕ - SRV

policy name Ipsec

созданы два правила
w3k-DI
DI-w3k
каждое из которых определяет одну из его конечных точек.
в каждом из правил определяеться IP filter liist
что бы не замарачиваться названы также
w3k-DI
и
DI-w3k
*****************************
w3k-DI определяет направление из подсети 192.168.0.0/24 в подсеть
192.168.1.0/24 (ни каких галок зеркалирования не стоит )
The tunnel endpoint 10.0.1.253
connection type - All network connection
Authentication Methods - peshure key "ключ"
Filter Action - ipsec (name)
напервой вкладке
Negotiate Security
галки все убраны
далее
add -Custom-
выбрано Data inte... (ESP)
MD5
3DES
3600 sec
******************************
Cоотвественно второй фильтр настроен идентично только в обратном
из 192.168.1.0/24 в подсеть
192.168.0.0/24 направлении
c
The tunnel endpoint 10.0.1.254
connection type - All network connection
Authentication Methods - peshure key "ключ"
Filter Action - ipsec
******************************
Методы безопасности в порядке предпочтения:
1. IKE 3DES MD5 Medium(2)
2. IKE 3DES SHA1 Medium(2)
3. IKE DES SHA1 Low(1)
4. IKE DES MD5 Low(1)

Машина не в домене, совтовых фаирволов на ней не стоит.
Политика IPSEC применяться и смотри что у нас получаться.

к Di в лан порт подключен ноут который получает ip (192.168.146) по DHCP
с него и будем наблюдать за прохождением теста:
До включения тунеля пингуем ноута Lan на SRV
соотвественно
>
ping 192.168.0.254 -t

Pinging 192.168.0.254 with 32 bytes of data:

Reply from 192.168.0.254: bytes=32 time=9ms TTL=128
Reply from 192.168.0.254: bytes=32 time=1ms TTL=128
Reply from 192.168.0.254: bytes=32 time<1ms TTL=128
Reply from 192.168.0.254: bytes=32 time<1ms TTL=128
Reply from 192.168.0.254: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.1.254:
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 9ms, Average = 2ms
>
как види все отлично
врубаем тунелирование:
\>ping 192.168.0.254 -t

Pinging 192.168.0.254 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.0.254:
Packets: Sent = 6, Received = 0, Lost = 6 (100% loss),
\>

картинака маслом

В лога Di вот это



Если пинговать из за SRv то картина в логах будет вот такая:


Так что если есть у кого коментарии то милости прошу.

Как и в придыдущем своем посте повторюсь что перепробывал как минимум 3 прошивки к сожелению логи при работе на старых прошивках не сохранил, возвращать все каждый раз муторно да и времени сьедает достаточно :о( а ведь еще есть и оснавная работа.

см. след. сообщение

вчера согласно FAQ настроил IPSEC между 804HV и win2003 сервером.

все работает нормально.

to: romanodessa
Хотелось бы побольше деталий.