Строю VPN между DFL-800 и DI-824VUP. Канал поднимается, статус на DI-824VUP - IKE Established, Lifetime - 3600, подсети между собой пингуются.
После того как эти 3600 секунд проходит, статус VPN по прежнему - IKE Established, но пинг пропадает. Если DI-824VUP перезагрузить, то канал опять поднимается, пинг проходит, но только на 3600секунд. Помогите, пожалуйста, правильно настроить.

Настройки на DFL-800:
Name: Moskow
Local IP: 192.168.1.4
Broadcast: 0.0.0.0
Local Network: 192.168.1.0/24
Remote Network: 192.168.0.0/24
Remote Gateway: Y.Y.Y.Y
IKE Mode: Aggressive
D-H modp group: 2
NAT Traversal: Enabled if needed and supported by the remote peer
SA per: Net
PFS: Disabled
Config Mode: Disabled
DHCP over IPsec: Disabled
Add Route: Disabled
XAUTH Client: Disabled
XAUTH: Disabled
Keep-alive: Disabled
Authentication: PSK: Moskow
MTU: 1420

Настройки на DI-824VUP:
IKE Proposal: DH Group - 2, DES, MD5, 28800
IPSec Proposal: DH Group - None, ESP, DES, MD5, 3600

Лог на DI-824VUP после истечения 3800 секунд и пропажи пинга:
14:46:17 Receive IKE Q1(QINIT) : [X.X.X.X]-->[Y.Y.Y.Y]
14:46:17 Requested routing is [192.168.1.0|X.X.X.X]<->[Y.Y.Y.Y|192.168.0.0]
14:46:17 error = 16
14:46:17 Receive IKE Q1(QINIT) : [X.X.X.X]-->[Y.Y.Y.Y]
14:46:17 Requested routing is [192.168.1.0|X.X.X.X]<->[Y.Y.Y.Y|192.168.0.0]
14:46:17 error = 16
14:46:17 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
14:46:17 Receive IKE Q2(QRESP) : [192.168.1.0|X.X.X.X]-->[Y.Y.Y.Y|192.168.0.0]
14:46:17 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
14:46:17 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
14:46:17 IKE Phase2 (IPSEC SA) established : [192.168.1.0|X.X.X.X]<->[Y.Y.Y.Y|192.168.0.0]
14:46:17 inbound SPI = 0xe61e0010, outbound SPI = 0xf4567181
14:46:18 Receive IKE Q1(QINIT) : [X.X.X.X]-->[Y.Y.Y.Y]
14:46:18 Requested routing is [192.168.1.0|X.X.X.X]<->[Y.Y.Y.Y|192.168.0.0]
14:46:18 error = 16
14:46:20 Receive IKE Q1(QINIT) : [X.X.X.X]-->[Y.Y.Y.Y]
14:46:20 Requested routing is [192.168.1.0|X.X.X.X]<->[Y.Y.Y.Y|192.168.0.0]
14:46:20 error = 16
14:46:22 Send IKE (INFO) : delete [192.168.0.0|Y.Y.Y.Y]-->[X.X.X.X|192.168.1.0] phase 2
14:46:22 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
14:46:22 inbound SPI = 0xe31e0010, outbound SPI = 0xd1437a7c
14:46:22 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
14:46:22 Receive IKE Q2(QRESP) : [192.168.1.0|X.X.X.X]-->[Y.Y.Y.Y|192.168.0.0]
14:46:22 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
14:46:22 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0

Лог на DFL-800 после истечения 3800 секунд и пропажи пинга:
2011-07-06
14:49:43 Info IPSEC
1803021


ipsec_sa_statistics
done=94 success=80 failed=14
2011-07-06
14:49:43 Info IPSEC
1802046


ipsec_sa_lifetime
sec=3600
2011-07-06
14:49:43 Info IPSEC
1802043


ipsec_sa_informal
spiin="93a10388 " spiout="291f0010 " alg=des-cbc keysize= mac=hmac-md5-96
2011-07-06
14:49:43 Info IPSEC
1802058


ipsec_sa_informal
local_id="192.168.1.0/24 any" remote_id="192.168.0.0/24 any"
2011-07-06
14:49:43 Info IPSEC
1802703


ike_sa_negotiation_completed
ike_sa_completed
local_peer="X.X.X.X:4500 ID X.X.X.X" remote_peer="Y.Y.Y.Y:4500 ID Y.Y.Y.Y" initiator_spi="fac37486 b77ae653" responder_spi="38430633 9eaa33d8" int_severity=6
2011-07-06
14:49:43 Info IPSEC
1802040


ipsec_sa_negotiation_completed
ipsec_sa_enabled
sa=Responder info="NAT-T, tunnel" local_peer="X.X.X.X:4500 ID X.X.X.X" remote_peer="Y.Y.Y.Y:4500 ID Y.Y.Y.Y" spi_in="ESP 93a10388" spi_out="ESP 291f0010"

А кто у вас за натом? Думаю он - источник проблемы

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Извините, не понял, поясните, пожалуйста, подробней. При пинге из одной подсети в другую, никаких дополнительных роутеров трафик не проходит. Получается, как бы две подсети, обе эти железки для них являются шлюзами, пингую с машины которая находится сразу за шлюзом.

У вас включен и используется NAT-T
Это похоже на то, что одно из устройств находится за NAT
Это так?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Проблема в дурацком DI-824VUP+ (это личный опыт). Мой вам совет - увеличьте время жизни туннеля и забудете о проблеме.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Это похоже на то, что одно из устройств находится за NAT
Это так?

Понял. Нет, не так, они смотрят напрямую в публичный интернет.

Мой вам совет - увеличьте время жизни туннеля и забудете о проблеме.

Там, кажется, есть ограничение на максимальный срок. Думал, временно, есть возможность его с коммандной строки по сети ребутнуть? Тогда увеличить срок жизни туннеля и скрипт приладить, который его ребутить будет. Но это лабуда какая-то, хотелось бы найти нормальное решение.

Про максимальный срок не знаю, но хотя бы ребутить реже будете. Можно поиграться с параметром Agressive mode, мне как-то лениво было, потому что знал, что скоро поменяю его. А так да, скрипт можно прикрутить, которые авторизуется и ребутнет.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

На что поменяли? Какая самая простая железка, которая гарантированно не будет иметь гемороев с ВПН? там даже вайфай не нужен.

DFL ^-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

danilovav

У меня еще на вас надежда. Ответов не много и смысл их пока только в поменять железку.

Совет будет аналогичен

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Жалко, у меня этих DI-824VUP аж три штуки. Я правильно понял, что DFL-200 - это минимум, что посоветуете?

210 минимум
260 и выше если что то серьезней

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

260 минимум. 210-й уже снят с производства, гарантия производителя скоро закончится.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Поменяйте Keep-alive: Disabled на Keep-alive: Enabled
IKE Mode: Aggressive поменяйте на Main в 824ом выключите эту функцию, если она включена.