Используется несколько VPN-маршрутизаторов (DI-804HV) для подключения удалённых точек обслуживания.
WAN-портом устройство подключается в сеть провайдера, где получает IP-адрес по DHCP.
К LAN-портам подключено оборудование со статическими IP-адресами.
Ко всем удалённым точкам обслуживания организованы VPN-соединения.

Существует следующая проблема: примерно один раз в сутки (в среднем), устройство переходит в некоторое состояние, в котором статус VPN-соединения остаётся connected, но VPN-трафик передаваться перестаёт. При этом, если принудительно разорвать VPN-соединение, оно в считанные секунды вновь устанавливается, но пакеты через него так и не начинают проходить. Это состояние сохраняется до перезапуска устройства.

Такое поведение устройства наблюдается при использовании firmware V1.51b14, обновление до V1.51b16 не помогает.
Техподдержка провайдера сообщила что эта проблема им известна и существует также и у других клиентов, кто пользуется DI-804HV.
Специалисты провайдера со своей стороны проверили всё что прямо или косвенно может повлиять на это, взяв у одного из клиентов данное устройство на тестирование. Отмечают также случай, когда одно из устройств было отправлено в сервисный центр D-Link, откуда вернулось с версией firmware V1.51b17 (не доступной с сайта D-Link), но с этой версией проблема так же оставалась некоторое время, после чего устройства вскоре перестало запускаться совсем. Нам и остальным своим клиентам техподдержка провайдера рекомендовала вручную перезапускать все наши DI-804HV ежедневно, что мы и делаем уже более месяца.

Подскажите, пожалуйста, что можно предпринять чтобы устранить данную проблему.

P.S. сегодня удалось искусственно воспроизвести это - просто нажал DHCP renew. Однако, на другой удалённой точке (где проблема тоже проявлялась ранее), обновление аренды адреса прошло корректно, несколько раз подряд. Вернувшись к этой точке, повторил - снова "затык".. Несколько раз. Потом - о, чудо - нормально. Ничего не понимаю, где логика, что вылавливать, куда копать??!! help!

Что в логах роутера? После прошивки сброс на заводские настройки роутера осуществляли?
Настройки WAN можете предоставить?

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Что в логах:

WAN Type: Dynamic IP Address (V1.51b16)
Display time: Wednesday July 07, 2010 18:01:52

Wednesday July 07, 2010 17:37:52 DHCP:renew
Wednesday July 07, 2010 17:37:56 DHCP:renew
Wednesday July 07, 2010 17:38:04 DHCP:renew
Wednesday July 07, 2010 17:38:20 DHCP:renew
Wednesday July 07, 2010 17:38:40 DOD:triggered internally
Wednesday July 07, 2010 17:38:40 DHCP:renew
Wednesday July 07, 2010 17:38:40 Send IKE M1(INIT) : 10.xxx.xxx.xxx --> 192.168.xxx.xx
Wednesday July 07, 2010 17:38:41 Receive IKE M2(RESP) : 192.168.xxx.xx --> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:38:41 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Wednesday July 07, 2010 17:38:41 Send IKE M3(KEYINIT) : 10.xxx.xxx.xxx --> 192.168.xxx.xx
Wednesday July 07, 2010 17:38:41 Receive IKE M4(KEYRESP) : 192.168.xxx.xx --> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:38:41 Send IKE M5(IDINIT) : 10.xxx.xxx.xxx --> 192.168.xxx.xx
Wednesday July 07, 2010 17:38:42 Receive IKE M6(IDRESP) : 192.168.xxx.xx --> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:38:42 IKE Phase1 (ISAKMP SA) established : 192.168.xxx.xx <-> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:38:42 Send IKE Q1(QINIT) : 192.168.xxx.xxx --> 0.0.0.0
Wednesday July 07, 2010 17:38:42 Send IKE Q1(QINIT) : 192.168.xxx.xxx --> 0.0.0.0
Wednesday July 07, 2010 17:38:42 Receive IKE INFO : 192.168.xxx.xx --> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:38:43 Receive IKE Q2(QRESP) : [0.0.0.0|192.168.xxx.xx]-->[10.xxx.xxx.xxx|192.168.xxx.xxx]
Wednesday July 07, 2010 17:38:43 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:SHA1 HASH:Others PFS(Group):Group2
Wednesday July 07, 2010 17:38:43 Send IKE Q3(QHASH) : 192.168.xxx.xxx --> 0.0.0.0
Wednesday July 07, 2010 17:38:43 IKE Phase2 (IPSEC SA) established : [0.0.0.0|192.168.xxx.xx]<->[10.xxx.xxx.xxx|192.168.xxx.xxx]
Wednesday July 07, 2010 17:38:43 inbound SPI = 0xf02172ad, outbound SPI = 0x6b3ee39
Wednesday July 07, 2010 17:38:44 DHCP:renew
Wednesday July 07, 2010 17:38:52 DHCP:renew
Wednesday July 07, 2010 17:39:08 DHCP:renew
Wednesday July 07, 2010 17:39:28 Send IKE (INFO) : delete [192.168.xxx.xxx|10.xxx.xxx.xxx]-->[192.168.xxx.xx|0.0.0.0] phase 2
Wednesday July 07, 2010 17:39:28 IKE phase2 (IPSec SA) remove : 10.xxx.xxx.xxx <-> 0.0.0.0
Wednesday July 07, 2010 17:39:28 inbound SPI = 0xf02172ad, outbound SPI = 0x6b3ee39
Wednesday July 07, 2010 17:39:28 Send IKE (INFO) : delete 10.xxx.xxx.xxx -> 192.168.xxx.xx phase 1
Wednesday July 07, 2010 17:39:28 IKE phase1 (ISAKMP SA) remove : 10.xxx.xxx.xxx <-> 192.168.xxx.xx
Wednesday July 07, 2010 17:39:28 DOD:triggered internally
Wednesday July 07, 2010 17:39:28 DHCP:renew
Wednesday July 07, 2010 17:39:28 Send IKE M1(INIT) : 10.xxx.xxx.xxx --> 192.168.xxx.xx
Wednesday July 07, 2010 17:39:29 Receive IKE M2(RESP) : 192.168.xxx.xx --> 10.xxx.xxx.xxx
Wednesday July 07, 2010 17:39:29 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2

и так далее, многократно...

После прошивки сброс на заводские настройки не осуществляли

Настройки WAN:

Dynamic IP Address
Host Name - пусто
MTU - 1500
Auto-reconnect - Enabled
NAT - Enabled
Auto-backup - Disabled
IGMP - Disabled

Попробуйте сбросить устройство на заводские настройки и настроить его заново вручную. По логам - роутер посылает запросы на получение IP адреса (DHCP renew), но адрес не получает.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

попробовали: перепрошили, сбросили, настроили заново и подождали сутки.

проблема сохранилась

если устройство не может получить адрес, как же тогда мне удаётся зайти на веб-интерфейс со стороны WAN (оттуда я копировал логи именно в момент "затыка") - видимо, адрес-то есть, но продлить его по renew устройство не может.

как быть?

Ещё одна деталь: когда это происходит, LAN-интерфейс устройства не пингуется с него самого (да и ниоткуда). Однако, узлы сети, куда этот LAN-интерфейс подключен - отвечают на ping (с самого роутера).

Ухожу в отпуск, в нашей организации этим вопросом далее будет заниматься сотрудник, ник которого на этом форуме: Andrey Cheban

Думаю, что стоит обратиться в сервисный центр за диагностикой устройства.
http://dlink.ru/ru/contacts/

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Дело в том что у нас около 6-ти di-804hv, и все они ведут себя так одинаково. Есть ли смысл при этом отправлять устройства в сервисный центр?

Может есть какие-то средства для поднятия уровня журналирования на этом маршрутизаторе? Если есть, то надеюсь, что детальные логи прольют свет на эту ситуацию.

Тогда логи и топологию пришлите мне на почту для анализа ситуации.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Логи и топология отправлены.

нашлось ли решение данной проблемы?

Здравствуйте

Перешли на новую прошивку 1.53, проблема всё ещё не решилась. Выходим из ситуации тем что перезагружаем 2 раза в сутки эти маршрутизаторы. Через руки прошли уже больше 10-ти DI-804HV, и все так себя ведут. Хотя у DIR-320 с нашим провайдером таких проблем нет.

Вкратце:
1. Remaining Lease Time ещё не истёк, а маршрутизатор пытается пере получить IP адрес с DHCP сервера и судя по логам и по вкладке статуса в интерфейсе управления у него это не получается.
2. После этого мы теряем доступ к защищаемой сети(VPN), при этом с самого маршрутизатора у нас не пингуется LAN интерфейс, а хосты в LAN сети с маршрутизатора пингуются.
3. Через WAN интерфейс в систему управления маршрутизатором мы зайти можем.
4. Если маршрутизатор находящийся в таком состоянии перезагрузить - то его работа восстанавливается.

Может у кого есть варианты для решения этой проблемы, кроме регулярной перезагрузки?

Такой статус мы видим когда это всё случается: