Прошивка 2.27.14.
DFL - 800.
Столкнулся с такой дикой проблемой.

Есть два DFL смотрящих друг на друга по l2tp vpn каналу, через очень не постоянный радио-канальный интернет.

Клиент соединяется с головным офисом, образует L2TP канал и все хорошо пока канал не отлихорадит.

Характер лихорадки выяснить пока не удалось, смысл в том что:
DFL- 800 прекращает попытки соединиться с головным офисом. Начисто.
В статусе по VPN клиентскому интерфесу висит "Establising.... " и тишина.
В головном никаких признаков соединения.

Клиенту не помогает:
* Рестарт клиента (Restart).
* Полный рестарт клиента(Full restart.).
* Обесточивание и последующее включение.
Складывается ощущение, что то, что отвечает за установку соединения, принимает решение, что устанавливать соединение оно больше не будет и потом слепо этому следует, невзирая на перезапуски.

Помогает выйдти из ситуации смена пароля, сохранение, применение, и он тут же начинает ломиться с неверным паролем, после чего пароль меняешь на оригинальный и канал опять жив до неопределенного момента.

Особенности конфигурации.
WAN по DHCP получает адрес, который имеет Lease Time 3600 sec, а refresh time 1200 sec.

Особенности пропаж.
Пропадание часто происходит в промежуток времени, когда никто не работает. Примерно часов в 5 утра.
Никаких записей в логах этому не предшествует. Просто вдруг проскакивает строка, что канал разорван и.. все.

Загвозка во всей этой истории, одна:
Почему не устанавливается соединение до тех пор пока не сменишь пароль. Что там такого происходит ?

У кого нибудь какие нибудь идеи есть ?
Ах, да. Головной офис не причем. Любые манипуляции с ним не приводят к каким либо результатам.

Какие-то записи в логах должны быть
Рестарт клиента - из консоли?
А если создать постоянный трафик (лучше всего - мониторинг маршрута) - не лучше будет?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Никаких. Вообще. тишина.
Только интерфейс в статусе висит "Establisging"


Как ?
Читал мануал по консольным командам - только создать соединение, сделать apply и... все.
Как перезапустить. Я бы его каждые 6 часов бы перезапускал, проблем бы не знал.


Сделал.
3 маршрута.
а) 2 трогают VPN соединение.
б) 1 трогает удаленный в интернете.

п. а.1) Это пинг внутреннего сервера
п. а.2) Доступность по 445 порту другого внутреннего сервера.
Оба работающют в режиме 24/7/365.

Канал в таком состоянии отработал около 2х суток и... исчез, оставив в логе сервера вот такое сообщение:



Я тут скриптик написал, который мониторит доступность адреса через VPN канал, результат работы меня взрогнул, когда в первый раз увидел.
При этом реконнект VPN канала не происходит, что самое интересное.
Строка "Downtime", означает, что хост стал доступен и по нему выводится количество времени, которое он пролежал.
Строка "Uptime", означает, что хост перестал быть доступен и по нему выводится количество времени, которое он простоял.
Время чуть-чуть расходится на сервере и на dlink'e

[09.05.2011 15:06] Downtime: 0:0:6,15 (615, ms)
[09.05.2011 15:06] Uptime: 0:0:4,86 (486, ms)
[09.05.2011 15:06] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 15:07] Uptime: 0:0:1,91 (191, ms)
[09.05.2011 15:07] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 15:36] Uptime: 0:29:50,51 (179051, ms)
[09.05.2011 15:37] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 16:06] Uptime: 0:29:50,30 (179030, ms)
[09.05.2011 16:07] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 16:36] Uptime: 0:29:50,25 (179025, ms)
[09.05.2011 16:37] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 17:36] Uptime: 0:59:49,2 (358902, ms)
[09.05.2011 17:37] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 18:06] Uptime: 0:29:50,22 (179022, ms)
[09.05.2011 18:07] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 18:36] Uptime: 0:29:50,51 (179051, ms)
[09.05.2011 18:36] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 19:06] Uptime: 0:29:50,32 (179032, ms)
[09.05.2011 19:06] Downtime: 0:0:8,19 (819, ms)
[09.05.2011 19:36] Uptime: 0:29:50,23 (179023, ms)
[09.05.2011 19:36] Downtime: 0:0:8,19 (819, ms)
[09.05.2011 20:06] Uptime: 0:29:50,38 (179038, ms)
[09.05.2011 20:06] Downtime: 0:0:8,18 (818, ms)
[09.05.2011 20:36] Uptime: 0:29:50,44 (179044, ms)
[09.05.2011 20:36] Downtime: 0:0:6,15 (615, ms)
[09.05.2011 21:06] Uptime: 0:29:52,40 (179240, ms)
[09.05.2011 21:06] Downtime: 0:0:6,15 (615, ms)
[09.05.2011 21:36] Uptime: 0:29:52,21 (179221, ms)
[09.05.2011 21:36] Downtime: 0:0:6,15 (615, ms)
[09.05.2011 21:49] Uptime: 0:12:47,67 (76767, ms)
[10.05.2011 3:53] Downtime: 6:3:27,38 (2180738, ms)
[10.05.2011 9:28] Uptime: 5:35:38,23 (2013823, ms)
[10.05.2011 9:28] Downtime: 0:0:2,11 (211, ms)
[10.05.2011 9:32] Uptime: 0:3:21,0 (20100, ms)
[10.05.2011 9:32] Downtime: 0:0:2,11 (211, ms)
[10.05.2011 11:38] Uptime: 2:6:52,52 (761252, ms)
[10.05.2011 11:39] Downtime: 0:0:2,17 (217, ms)

>>Рестарт клиента - из консоли?
>Как ?
if yourl2tpclient -restart

>Канал в таком состоянии отработал около 2х суток и... исчез, оставив в логе сервера вот такое сообщение:
User auth > User auth rules > yourrule
Увеличьте значение idle timeout в restrictions

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

DFL-800:/> if L2TP-Tunnel-to-CO -restart
Shutting down L2TP-Tunnel-to-CO.
Bringing L2TP-Tunnel-to-CO back up.
Done.
DFL-800:/>

Не помогло.


[/quote]
65535 стоит, больше нельзя.

Да и смысла в этом нет. Еще одна деталь из лога:



А вот что было с доступностью L2TP клиента из интернет:
[11.05.2011 21:00] Uptime: 0:29:54,21 (179421, ms)
[11.05.2011 21:01] Downtime: 0:0:4,19 (419, ms)
[11.05.2011 21:04] Uptime: 0:3:3,96 (18396, ms)
[11.05.2011 21:04] Downtime: 0:0:0,63 (63, ms)
[11.05.2011 21:30] Uptime: 0:26:49,74 (160974, ms)
[11.05.2011 21:31] Downtime: 0:0:4,18 (418, ms)
[11.05.2011 21:49] Uptime: 0:18:25,65 (110565, ms)
[11.05.2011 21:49] Downtime: 0:0:9,85 (985, ms)
[11.05.2011 22:00] Uptime: 0:11:19,0 (67900, ms)
[11.05.2011 22:01] Downtime: 0:0:4,18 (418, ms)
[11.05.2011 22:29] Uptime: 0:28:38,21 (171821, ms)
[11.05.2011 22:29] Downtime: 0:0:7,30 (730, ms)
[11.05.2011 22:30] Uptime: 0:1:9,9 (6909, ms)
[11.05.2011 22:30] Downtime: 0:0:4,15 (415, ms)
[11.05.2011 22:36] Uptime: 0:5:7,10 (30710, ms)
[11.05.2011 23:01] Downtime: 0:25:22,48 (152248, ms)
[11.05.2011 23:15] Uptime: 0:14:10,26 (85026, ms)
[11.05.2011 23:49] Downtime: 0:33:45,19 (202519, ms)

Радиоканал лежал 25 минут 22 секунды, упав в 22:36.
Иногда по UDP до сервера что-то долетало, но туда и обратно по ICMP ни-че-го.
В 23:07 +-3 минуты канал отлогинили
Сам клиент, скорее всего не догадался ни о чем, так как смотрит в интернет через wimax - ethernet bridge.
И может быть его заклинило ?

Все.
После этого соединяться он перестал.
Пойду пароль поменяю и верну назад

попробуйте сменить соединение на PPTP. Как изменится поведение? Это очень просто.

А можно еще и IPsec, и GRE попробовать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

IPsec будет решением - и более безопасный, и переподнимается на порядок лучше
Хотя более зависим от инфраструктуры

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это не очень просто, потому что конфигурация довольно сложная и заменять l2tp на pptp сервер нет возможности, ибо pptp уже используется для других нужд и целей.

L2TP, на сколько мне известно, уже использует IPSec.

В любом случае вариантов много.

Нет связи. Вы путаете с виндозовским IPsec over L2TP.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.