Не понимаю принципов работы IPSEC на DFL-210: есть несколько точек в интернете, соединенных IPSEC туннелями. На двух точках стоят DF%-210, еще на пяти -- DI-804HV. Все это соединено между собой в разных комбинациях.
До недавнего времени провайдер выдавал статические IP адреса - все рабюотало как часы. Теперь выдаются динамические адреса при кждом новом подключении канала. Поменял на всех адресах конечные точки туннелей на url с dyndns.org. И тут началось.
Туннели между DI-804HV устанавливаются более-менее нормально, хотя и дольше чем раньше. С DFL соединение происходит через раз с задеркой в 5-7 минут, но все же происходит. Между собой DFL соединяются 1 раз из 10-ти с задержкой в 30 минут и более.
В логах куча сообщений: "No proposal choosen" и "Invalid payload chain". Заменяем url-ы на текущие адреса - все заводится мнгновенно.
Пытался смотреть вывод ikesnoop: шлюз отправляет IKE пакет со списком доступных proposal и получает ответ, что противоположная сторона ничего не выбрала.
Как все это заставить нормально работать? И если кто знает, объясните назначение и использование Local ID Type/Value на вкладке Authentication в DFL.