ДОБРЫЙ ДЕНЬ! . В центральном офисе стоит 824-VUP+, в филиалах стоят 804-HV и 824-VUP+, между ними настроены VPN IPsec тунели. За 2 года работы особых нареканий нет. В центральный офис купили DFL-210 вместо 824-VUP+ для большей производительности. На 210 были подняты тунели, но по прошествию некоторого времени (возможно IPsec Life Time 3600) тунель "падает", исчезает из таблицы IPsec SAs (STATUS -> IPsec -> IPsec SAs ), пинги пропадают. И так с каждым тунелем. Устраняется данная неисправность или полной перезаргузкой (Full restart - Restart from power-on state) или удалением из таблицы List all active IKE SAs (STATUS -> IPsec -> List all active IKE SAs ) всех продряд строк. После этого пинги снова появляются. Firmware Version: 2.12.00.44-1877
Apr 27 2007. Настройки согласно мануалу. Что сделать, чтобы тунели не "падали" ?

что в логах в момент "падения"?

Сейчас, очищу логи и смоделирую ситуацию ... Пинги пока идут.

Жаль, что не поймал сам момент "падения" , логи забились моментально. Все записи одинаковые :



2007-09-13
15:33:11 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
15:33:10 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
15:33:10 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
15:33:10 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"

Удалил последнюю строку Remove IKE SA - пинги пошли ...

где удалил?

Status-> IPsec -> IPsec IKE status , там закладка List all active IKE SAs, в ней список ...
Gateway Created Expires Encryption Algorithm Remove IKE SA
81.211.11.198 2007-09-13 15:50:38 2007-09-13 23:50:38 3des-cbc
85.21.40.130 2007-09-13 15:31:41 2007-09-13 23:31:41 3des-cbc
81.211.11.198 2007-09-13 12:48:45 2007-09-13 20:48:45 3des-cbc
81.211.11.198 2007-09-13 15:34:30 2007-09-13 23:34:30 3des-cbc
81.211.11.198 2007-09-13 13:01:06 2007-09-13 21:01:06 3des-cbc
85.21.40.130 2007-09-13 15:39:39 2007-09-13 23:39:39 3des-cbc

Поймал момент "падения"


2007-09-13
16:34:21 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
16:34:18 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
16:34:18 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="217.144.107.26 ID 217.144.107.26" remote_peer="85.21.40.130 ID 85.21.40.130" initiator_spi="9abd2716 912dea8b"
2007-09-13
16:34:18 Info IPSEC
01802024


ike_sa_negotiation_completed

rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2007-09-13
16:34:18 Info IPSEC
01803021


ipsec_sa_statistics

rev=1 done=356 success=7 failed=349
2007-09-13
16:34:18 Warning IPSEC
01800109


ike_quickmode_failed

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies=2214e26391c492044bf600af53e73d95 reason="Timeout"
2007-09-13
16:34:18 Warning IPSEC
01803020


ipsec_sa_failed
no_ipsec_sa
rev=1 statusmsg="Timeout"
2007-09-13
16:34:18 Info IPSEC
01800102


ipsec_event

rev=1 message=" Remote Proxy ID 192.168.0.0/24 any"
2007-09-13
16:34:18 Info IPSEC
01800102


ipsec_event

rev=1 message=" Local Proxy ID 192.168.10.0/24 any"
2007-09-13
16:34:18 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="217.144.107.26 ID 217.144.107.26" remote_peer="85.21.40.130 ID 85.21.40.130" initiator_spi="2214e263 91c49204"
2007-09-13
16:34:18 Info IPSEC
01800102


ipsec_event

rev=1 message="IPSec SA [Initiator] negotiation failed:"
2007-09-13
16:34:13 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"

А вот момент "поднятия" тунеля после удаления из таблицы строки

Gateway Created Expires Encryption Algorithm Remove IKE SA
85.21.40.130 2007-09-13 16:41:22 2007-09-14 00:41:22 3des-cbc

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
16:46:47 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
16:46:47 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"
2007-09-13
16:46:47 Info CONN
00600001 IPsecBeforeRules ESP wan
core 85.21.40.130
217.144.107.26
conn_open

rev=1 conn=open connsrcid=0 conndestid=0
2007-09-13
16:46:47 Info IPSEC
01803021


ipsec_sa_statistics

rev=1 done=384 success=8 failed=376
2007-09-13
16:46:47 Info IPSEC
01802046


ipsec_sa_lifetime

rev=1 sec=3600
2007-09-13
16:46:47 Info IPSEC
01802043


ipsec_sa_informal

rev=2 spiin=a06b4987 spiout=81130010 alg=3des-cbc keysize= mac=hmac-md5-96
2007-09-13
16:46:47 Info IPSEC
01802058


ipsec_sa_informal

rev=1 local_id=192.168.10.0/24 any remote_id=192.168.0.0/24
2007-09-13
16:46:47 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="217.144.107.26 ID 217.144.107.26" remote_peer="85.21.40.130 ID 85.21.40.130" initiator_spi="7c5c9f02 6adbf4b2"
2007-09-13
16:46:47 Info IPSEC
01802040


ipsec_sa_negotiation_completed
ipsec_sa_enabled
rev=2 sa=Initiator info="tunnel" local_peer="217.144.107.26 ID 217.144.107.26" remote_peer="85.21.40.130 ID 85.21.40.130" spi_in="ESP a06b4
2007-09-13
16:46:47 Info IPSEC
01802703


ike_sa_negotiation_completed
ike_sa_completed
rev=1 local_peer="217.144.107.26 ID 217.144.107.26" remote_peer="85.21.40.130 ID 85.21.40.130" initiator_spi="7c5c9f02 6adbf4b2"
2007-09-13
16:46:47 Info IPSEC
01802024


ike_sa_negotiation_completed

rev=1 options=Initiator mode=Main Mode auth=Pre-shared keys encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2007-09-13
16:46:46 Warning IPSEC
01800106


ike_invalid_payload

rev=1 local_ip=217.144.107.26 remote_ip=85.21.40.130 cookies= reason="IKE_INVALID_COOKIE"

Прошу помоши у сотрудников Д-линк!

Выключите функции auto-reconnect, keep-alive на обоих устройствах. Приведите в соотвествие времена жизни туннелей.

Отключил. Тестирую ...

Добрый день.
У меня похожая ситуация.
В офисе стоит DFL 210 (Firmware Version: 2.11.03
Jan 10 2007). На нём поднято два IPSec туннеля до филиалов.
В обоих филиалах стоят DI-804HV.
Около года все работало нормально. А недавно произошли какие то проблемы с одним из IPSec туннелей - связь с удаленным филиалом стала очень не стабильна, пинги то идут, то нет.
В логах было
" Warning IPSEC 01800106

ike_invalid_payload

rev=1 local_ip=xxx.xxx.xxx.xxx remote_ip=xxx.xxx.xxx.xxx cookies= reason="IKE_INVALID_COOKIE"
"

Во вкладке STATUS -> IPsec -> IPsec IKE status для проблемного туннеля присутствовало сразу несколько записей active IKE SAs (Для туннеля с которым все ок только одна запсиь).
Удаление через Remove IKE SA не помогало, а часть SAs так просто не удалялось.

При этом второй туннель работает нормально.

Вылечилось (?) это перезагрузкой обоих Dlink. Однако на вкаладке
STATUS -> IPsec -> IPsec IKE status для проблемного туннеля попрежнему присутствует две записи active IKE SAs.

На DI-804HV было включено auto-reconnect. Отключил.
Кeep-alive на обоих устройствах выключен.
Времена жизни туннелей одинаковые.

Похожая проблема.

DFL-210 и DI-804HV

Вот лог с dfl-210



Auto-reconnect на Di-804 отключен.
Где находится keep-alive на dfl-210 и на di-804?
Должен заметить, что
1) кроме этого проблемного тоннеля есть еще 5 точно таких же (настройки скопированы, изменен только ip и подсеть)
2) прешаред кей проверен, совпадает 100%

но вот туннель не устанавливается.
Прошу помощи у гуру и сотрудников Длинк!

Если у вас есть динамический туннель (с remote net = all-nets), он должен быть самым нижним.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc