В двух офисах, связанных через Интернет, используются DFL-800 с IPSec в туннельном режиме, который работает через раз, особенно хорошо всё работает после полной перезагрузки обоих девайсов. Время от времени соединение становится невозможно установить с ошибкой в логе statusmsg="Timeout". На первом устройстве туннель работает в динамическом режиме (Remote Endpoint:(None)). На втором устройстве соответственно Remote Endpoint выставлен на внешний IP первого устройства. Это связанно с тем, что на втором устройстве интернет менее устойчив и время от времени происходит переключение между каналами интернет. Оба устройства находятся не за NAT и имеют белые IP.


На устройстве 1 логах на это выдаётся:



На устройстве 2:



Как видно на устройстве 1 в качестве удалённого партнёра пытается выступить серый IP одного из узлов внутренней сети устройства 2 (очень часто это внутрненний IP сервера, но бывают и произвольные IP адреса одного из внутренних хостов), до которого прямой маршрут от устройства 1 до установления туннеля невозможен. Как я понимаю проблема в настройке как раз узла 2, который посылает эту информацию. Ума не приложу из-за чего может возникать подобная ситуация. Прошивка 2.27.00. Как заставить DFL представляться нормально?

1. Какая прошивка на обоих DFL?
2. Предоставьте больше информации:
Через консоль:
ipsecstats
ipseckeepalive

И вывод команды ikesnoop -on -v когда тоннель не поднимается.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

2.27.00
Завтра предоставлю более подробные логи, но сегодня эта команда не показывала информацию об этом туннеле вообще, только информация о 4 других туннелях (кстати с весьма схожей конфигурацией, но с использованием 3го устройства)
эта команда показывала, что количество отправленных пакетов равно количеству Consecutive lost пактов.

На обоих устройствах эта команда единожды, на каждую попытку, выдавала список используемых алгоритмов (10 штук, на обоих совпадали).

Вот это уже интересно.

keep alive для тоннелей включен на обоих устройствах?

Когда возникает такая ситуация попробуйте в консиле выполнить команду: killsa -all

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

keep alive включен для обоих. Команда kilsa IPADRESS иногда приводит к правильному установлению туннелей, а иногда не помогает. Такая же ситуация с закрытием SA через вебинтерфейс.