Уважаемый support,

как подключиться к Dynamic IPSec в DFL-600 от Windows клиента штатными средствами?

Dynamic IPSec в DFL-600 требует непустой Peer ID, но его нет в штатных настройках политик IPSec Windows. Поскольку, очевидно, параметр используется в шифровании ключей, DFL не может получить первого же шифрованного ключа от WXP-клиента и отвечает PAYLOAD_MALFORMED. В дальнейшем клиент продолжает давать криптованные сообщения для второй фазы, а DFL продолжает выдавать ему ключ, и коннекта не происходит.

Кроме того, при переключении в Dynamic мода Main первой фазы запрещается вообще, а Aggressive Mode WXP не поддерживает.

GreenBow в принципе коннектится, но "разводить" заказчиков на лишние 50-70EUR (за него хотят примерно столько) не хочется.

Параметр Peer ID в этом случае НЕОБЯЗАТЕЛЕН, он несколько увеличивает секретность линка, и роль его сходна с Preshared Key. В DI-804HV в Dynamic режиме его нет вообще и все отлично работает (и вообще, во всех моделях настолько разные идеологии настроек, что порой кажется, что они от разных фирм, общие только цвета конопок GUI admin).

Почему бы не сделать Peer ID опциональным (пока микрософт не додумается вставить его в политики)?

И есть ли вообще какая-либо обратная связь с разработчиками, интересны ли им пожелания/замечания пользователей?

С уважением,
Kerfi

При использовании MAin mode при согласовании параметров соединения проверяются также IP-адреса шлюзов на соответствие прописанным в конфигурации туннеля. Поэтому использование Main с динамическими адресами -- невозможно.

Потому как это соотвествует стандарту. Думается что в микрософтовской реализации ИПСек это тоже должно где то быть, просто еще не нашли



Связь есть. Мы постоянно с ними общаемся, и пожелания интересны.[/quote]

_________________
С уважением -- Александр Шебаронин.

В DI-804HV это не так, попробовал еще раз прямо сейчас - Dynamic IP и коннект на Main Mode.

Насколько я понял, проработав кучу информации по вопросу, идеологически IP "замешивается" (может замешиваться) в хэши для бОльшей аутентичности. Естественно, при Dynamic IP этого мы лишаемся, но по другому RoadWarrior коннектиться и не могут. Очевидно, разработчики DFL-600 просто решили компенсировать это введением Peer ID, чем отсекли Windows-клиентов.

Agressive Mode - это просто иной способ передачи первой фазы, где аутенфицируемая информация передается единым пакетом, Windows ее (пока) не поддерживает. Но зачем ее делать ОБЯЗАТЕЛЬНОЙ для Dynamic IP? Опять же - в DI-804HV это не так. Кстати, Aggressive там можно опционально включать как раз в именнЫх тунеллях, а в Dynamic - как раз нет
Та же ссылка на опыт с DI-804HV.
Александр, можете дать ссылку на номер RFC?
Это, наверное, программисты Microsoft'а еще не нашли
Где же ему еще быть, как не в политиках IPSec?

Вот только на это и надежда. А решения моей проблемы пока, я понимаю, нет.

Жаль, вот если бы взять IPSec от 804, а производительность от 600...

С уважением,
Владимир Лукашин,
aka Kerfi

Ух, и задали же вы мне работы -- еле нашел RFCшку.
RFC2409:

_________________
С уважением -- Александр Шебаронин.

Александр, я не об этом.


rfc2409, на который Вы ссылаетесь, не утверждает необходимости вводимого пользователем Peer ID. И его нет в, например, DI-804HV (на радость клиентам со штатными windows-средствами ipsec). Я не нашел в RFC о вводимого пользователем PeerID, думал, Вы как раз и подскажете. ID нужны сторонам для идентификации, особенно при аутентификации с помощью сертификатов. В стационарном случае это ip каждой из сторон, но поскольку у мобильных клиентов он не постоянен, вместо него используется искусственный PeerID. Но почему в Dynamic режиме без него не обойтись (как в DI-804HV) - непонятно.

Также не вижу и обязательность Agressive mode:



Возможность Main mode позволила бы подключаться Windows-клиентам без дополнительного (часто платного) софта, и тем самым поднять привлекательность аппарата (да и чуть-чуть брэнда в целом).

Приношу извинения за пространность постов, очень уж много сил было убито на коннекты ipsec в разных видах к разным D-Link'ам, наболело, каждый из них не без греха, оборотная сторона дешевизны. Надеюсь все же в будущих версиях firmware DFL-600 увидеть изменения к лучшему в этом плане. Я понимаю, что это все реализовано на embedded Linux, но все же может какая-то обратная связь сработает.

И еще, по адресному туннелю: ipsec работает 3.5-4 минуты, после чего тихо отключается. Закрытие сессии по ISAKMP не инициализирует, на закрытие от клиента не отвечает, но легко подключается к новой сессии, на очередные 3.5-4 минуты. В логах - TIMEOUT. Попытка эмуляции keep alive с помощью ping -t на его локальный адрес и/или на другую машину в LAN не помогает. Firmware 3.16. В чем здесь дело?

С уважением,
Kerfi

Насчет имплементации и трактования RFC думаю продолжать не стоит -- тема может оказаться вечной
По туннелю -- проведу тест. Пока вроде не было замечено такого поведения за 600ым.

_________________
С уважением -- Александр Шебаронин.

провожу тест. Туннель между 600 и 200, работает без проблем уже около часа. Может есть какие то особенности в настройке?

_________________
С уважением -- Александр Шебаронин.

Ммм-да, вот попробовал с XP - действительно держится, даже без ping -t, а с W2K - глохнет, и именно DFL, причем в протоколе никаких разрывов сеанса ни от кого нет, просто DFL перестает отвечать по ESP.

В любом случае, получается, windows виноват больше

Спасибо!