Имеется VPN-сеть построенная по топологии звезда. В качестве центрального узла выступает DFL2560 (2.27.00.15-14100 May 25 2010). В качестве периферийных - некоторое количество DFL-860E (2.27.02.14-14550 Sep 29 2010), установленные в отдаленных подразделениях. Каждый из DFL-860E поднимает IPSec тунель с центральным узлом. У каждого из них есть своя локальная сеть. Обмен пакетами между локальными сетями регулируется правилами на центральном DFL-2560. До недавнего времени все работало прекрасно без малого целый год. Но в последнее время выявилось следующее: периодически пропадает то, одна то другая удаленная локалка. К удаленным компьютерам не возможно достучаться и пинги к ним не проходят, причем туннели IPSec подняты и никаких ошибок в логах ни у одного устройства нет.
Например, из сети 192.168.7.0/24 (1-ый DFL-860E) идет соединение в сеть 192.168.8.0/24 (2-ой DFL-860E). Соединение прошло через первый МЭ, затем центральный МЭ (записи об этом есть в логах и того и другого). А вот во втором, куда собственно оно и должно было дойти, его нет. В логах второго МЭ полностью отсутвуют какие-либо записи о том, что соединение было сброшено или же произошла какая-то другая ошибка. О нем вообще нет никаких упоминаний. Установка каких-либо типов логирования в соответсвующих правилах ничего не дает. Повторюсь: туннели IPSec подняты и никаких ошибок в логах ни у одного устройства нет.
Дальше начинается совсем интересное: перезагрузка удаленных МЭ ничего не дает. Связь с сетью 192.168.8.0/24 появляется только после перезагрузки центрального DFL-2560. Но при этом пропадает связь с уже другой сетью 192.168.10.0/24. При следующей перезагрузке связь восстанавливается, но пропадает новая сеть, которая работала нормально. И так по несколько раз в день. Причем до МЭ можно достучаться и даже зайти в него по внешнему IP по интерфейсу WAN. То есть какая-то проблема все же с VPN-сетью, а именно с центральным DFL-2560.Что это может быть? Куда копать и где искать?

В момент проблем, проверьте Status > IPsec > List all SAs - не двоятся ли у вас SA на проблемный туннель
И включите DPD

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

DPD включен был всегда.
За последние сутки не было повторения подобной ситуации. Поэтому проверить нет ли задвоения туннелей не могу. Как только ситуация повторится, обязательно обращу на это внимание.

Keep alive при этом выключите

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Включение DPD и отключение Keep Alive проблему не решило. Уменьшило частоту появления проблемы, но окончательно не решило!!!!
Задвоение SA не наблюдается. Рестарты периферийных МЭ ничего не дают. Нужно рестартовать только центральный МЭ, а это значит помешать тем, у кого все и так работает.
Так что проблема пока актульна

В момент отваливания туннеля, что у вас с SA? Один? Шифрование есть? Если убить?
Трафик в эти моменты активный?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Наверное я не совсем верно описал ситуацию. Туннели не отваливаются, они остаются. Как на центральном МЭ так и на периферийном они есть. Только трафика по ним нет. И еще, как правило перед пропаданием с проблемными туннелями идет активная работа. Трафик при этом не превышает 2 Мб/с.

Что касается задвоенных Sa. Они все таки есть. Но есть не только на тех туннелях которые работают, но и на тех туннелях где все хорошо и проблем нет.

В дополнение к первому посту в теме добавлю следующее: между DFL-2560 и каждым DFL-860E поднимаются два туннеля. Это продиктовано тем, что в отдаленные филиалы нужно подать две совершенно разные сети. Соответсвенно каждая сеть идет в своем туннеле. Ip-адресация в них разная.
И еще один ньюанс. На этапе настройки я задавал на каждый туннель свой уникальный PS ключ. Однако, такая схема не заработала, пришлось делать ключи одинаковыми, и теперь оба эти туннеля работают с одним PS ключом. Может быть так делать нельзя? И возможно ли что проблема и заключается в 2 туннелях между МЭ.

У меня также случаются такие зависания VPN на DFL. К топологии (звезда там или что), это не имеет отношения -- зависает именно отдельный туннель. Пока замечено, что случается это на IPSEC/NAT-T (без NAT-T не разу не видел) и обычно, когда на несущей линии плохая связь с обрывами. IKE SA действительно двоятся, троятся, десятерятся . Иногда помогает убиение относящихся к делу SA, но иногда они не убиваются или начинают еще больше размножаться. Практически во всех случаях помогает разрыв несущего канала на достаточно большое время (1-2 мин). Застарелая проблема, не поднимал ее из-за практической невоспроизводимости -- может не проявляться неделю или месяц, так что с конфигом экспериментировать невозможно, но DPD не помогает точно.

Для Sergey101975 -- зачем делать два параллельных туннеля, для remote network (да и для local network также) можно спокойно написать all_nets, только снимите галку автоматического создания маршрута и пишите вручную маршруты хоть на 10 сетей.

Штука в том, что NAT-T у меня выключен на всех девайсах. Между DFL-860E вообще нет NAT, работают они напрямую с центральным МЭ. Поэтому NAT-T я выключил с самого начала.

Спасибо за совет по поводу маршрутов. Буду пробовать.