Имеется DFL-900,
Firmware Version: NetOS Ver2.008 (WALL) #0:
с другой стороны стоит Zyxel ZyWall2

Проблемы возникают с VPN тунелем, периодически происходит зависание такого рода:
и на DLINK и на Zyxel в статусе IPSEC session имеется, но пакеты не "ходят"
Перепускаем Zyxel - не помогает.
Нажимаем на кнопочку Delete All (в device status -> Ipsec sessions) и вуаля все начинает работать.
Т.е. туннель почему-то не перестраивается.

С чем может быть связано такое ситуация ? И как ее можно разрешить.
Заранее большое спасибо.

_________________
Спасибо.
С Уважением Дмитрий.

Небольшое добавление, кусок лога:

4 2005-05-15 01:04:49 INFO ISAKMP-SA established x.x.x.x:500-x.x.x.x:500
5 2005-05-15 01:04:50 INFO responde new phase 2 negotiation

6 2005-05-15 01:04:51 WARNING Ignore INITIAL-CONTACT notification, because it is only accepted after...

01:04:51 WARNING Attribute has been modified.
8 2005-05-15 01:04:51 INFO ESP/Tunnel x.x.x.x->x.x.x.x
9 2005-05-15 01:04:51 INFO ESP/Tunnel x.x.x.x->x.x.x.x

_________________
Спасибо.
С Уважением Дмитрий.

Время жизни туннелей одинаковые ? Как настраивали IPSec на DFL-900 ?

Да конечно время жизни одинаковое.

У меня настроено 9 туннелей, и проблемных только два.
Видимо в чем-то виноват провайдер, предоставляющий интернет в этих двух точках.
Но и Dlink ведет себя непонятно - не чистит умершие туннели.


Ниже приведены параметры настройки.

Condition
Subnet Address

IP Address x.x.x.x
PrefixLen / Subnet Mask

Remote Address Type Subnet Address

IP Address
PrefixLen / Subnet Mask

Action
Negotiation Mode Aggressive
Encapsulation Mode Tunnel

Outgoing Interface WAN1
Peer's IP Address Static IP
My Identifier FQDN (mailbox)
Peer's Identifier User FQDN (mailbox)
--------------------------------------------------------------------------------
ESP Algorithm Encrypt and Authenticate Encrypt and Authenticate (3DES, SHA1)

--------------------------------------------------------------------------------
IPSec->IKE->Edit Rule->Advanced

--------------------------------------------------------------------------------
Condition
Transport Layer Protocol ANY

Action
Enable Replay Detection NO
-------------------------------------------------------------------------------

Phase 1

Negotiation Mode
Pre-Shared Key
Encryption Algorithm Encrypt and Authenticate (DES, MD5)
SA Life Time 1800 sec
Key Group DH1
--------------------------------------------------------------------------------
Phase 2

Encapsulation Tunnel
Active Protocol ESP
Encryption Algorithm Encrypt and Authenticate (AES, SHA1)
SA Life Time 1800 sec
Perfect Forward Secrecy(PFS) - No

_________________
Спасибо.
С Уважением Дмитрий.

В Phase 2 поставьте Life Time меньше чем в Phase 1.

Поставил, тестирую.

_________________
Спасибо.
С Уважением Дмитрий.