Народ, хэлп! Вааааащее не знаю в какую сторону копать...

Есть три одинаковые 860E (fw11.10.01), статические внешние IP, подняты IPSEC VPN, в правилах во все стороны all services. Работало всё это хорошо ооочень давно и никого не трогало до сег утра - вдруг без объявления войны перестал ходить трафик по одному из каналов: канал поднят, icmp, ssh, telnet гуляют свободно внутри сетей от/до любого девайса, но больше ничего (http, https, sip и тд) не проходит.

Грешил на канал, но провёл эксперимент (отключил локальный и удалённый VPNы на 860ых и подключился у удалённому 860му с локального внешнего IP через vpn-софтину с компа) - всё летает! Включил опять точка-точка - и опять та же хрень.... PRTG показывает, что к icmp у него претензий нет, а вот к HTTP на любом девайте есть - то поднимается, то падает - да оно и понятно.

Взываю к помощи! Может кто сталкивался с такой подставой(((

----------------------
Дополню, с бубнами уже потанцевал: шифрование менял, MTU=2000 уже давно стояло и т.д... То есть НЕ БЫЛО НИКАКИХ изменений конфигурации! Ну и, разумеется, всё это оборудование уже физически грузил не раз с отключением питания и без отключения. Результат - ноль... Третий же 860ый в этой же связке сейчас продолжает работает стабильно.

1. Что говорят логи?
2. На машинах стоит Windows 10 ? Но на мой взгляд - аиболее вероятно, что прилетели последние обновления 1703 и 1709. Они с косяками. Нареканий много, в том числе и по безопасности. Перекрутили они там что-то гайки, имхо.
Я тоже столкнулся с проблемами в тоннеле после обновления 10ки. Пока анализирую ситуацию.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В логах всё зелёненькое и красивенькое.

Там вот в том то и фишка, что НИЧЕГО не трогалось ни на девайсах 860х, ни на винде (мануально обновляю, раз-два в месяц)!!!! Там трабл ИМХО на уровне оборудования или (что совсем мало вероятно, но может быть) провайдера. Оборудование банально не видит друг друга по многим протоколам! Самый простой пример: хардверный видеорегистратор перестал видеть камеры или станция перестала видеть VoIP телефон (внутри двух локальных сетей!). И ни с 7ки, ни с 10ки, ни с планшета - ниоткуда нельзя подключиться к любому удалённому сервису на удалённом оборудовании через этот тунель точка-точка.

Одним словом, так. Кто сказал где-то тут рядом, что MTU должно быть 2000?))))))))) Поставил на IPSEC канал в 860м MTU=1380 (как в VPN софте, откуда подключался и всё работает) и всё заработало. Ну а если уж решать вопрос совсем грамотно, то просто нужно определить оптимальный размер пакета MTU для своей ситуации самому. У меня в результате получилось 1500, не более! Берите на заметку, короче) Тема закрыта.

У меня вопрос, а какое mtu на эзернет сегменте?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку