Доброе время суток.
Вопрос хочу задать такой:
есть две железки DFL-900 и DFL-600, между которыми поднят VPN- канал. Канал периодически рвется, если он рвется в период меньше чем "IKE Life Duration", то поднять его можно только путем пересохранения всех настроетк (apply со стороны 900), если был канал не активет и как следствие разрыв (утром), но ключи уже успели поменяться (за ночь), то пингом все проднимантся. Попробывал "IKE Life Duration" поставить поменьше, то увидел обратную зависемость - чаще стал канал рваться.
Подскажите что за беда?

Версии frimware устройств ? Параметры VPN и т.д. ?

dfl 900:
Firmware Version: NetOS Ver1.43R
dfl 600:
Firmware Version 2.32

vpn:
dfl 900 & dfl 600
Negotiation Mode = main
Encapsulation Mode = tunnel
ESP Algorithm = 3DES/MD5
SA Life Time = 28800 или 6000 или 1800
Phase 1 = Phase 2
Key Group = DH1
Perfect Forward Secrecy(PFS) = DH1

Обновите frimware в DFL-600 до 2.35, в DFL-900 до 2.08 и попробуйте время жизни IPSec SA сделать меньше чем IKE SA.

Хорошо, попробую. А подскажите пожалуста, при перешивке в dfl 900 c "Firmware Version: NetOS Ver1.43R" на "2.08", настройка слетают или остаются?

Вероятно слетят -- слишком разные они. Попробуйте сохранить их для начала на диск.

_________________
С уважением -- Александр Шебаронин.

Для dfl-900 все прошло нормально и настройки сохранились (был доступен парамметр "сохранять настройки"), для dfl-600 постораюсь сегодня-завтра сделать.
Попутно хотел спросить - почему можно всего две группы сделать для доступа пользователей в интернет (на кого правила распространяются и не распространяются)? А так хочется создать три группы - без озраничений, без порно-сайтов и только mail.ru?

Не понял о каких группах идет речь...

_________________
С уважением -- Александр Шебаронин.

Обновил и на DFL-600 - связь стала зачително стабилней, сейчас более детально тестирую. Спасибо.
А по поводу груп, я имел в виду "Web Filter" и "Exempt Computers" - получается можно наложить фильтр и сказать на кого он распространяется и на кого не распространяется, т.е. получается две группы - на кого "да" и на кого "нет".

Верно. Это именно так.

_________________
С уважением -- Александр Шебаронин.

Очень жаль (
А подскажите еще одну накую вещь:
что-то в логах VPN-а сейчас полезла такая штука, а не совсем понимаю чего он от меня хочет? Каналы работают. Правда есть пара неактивных.
log:
1 2005-09-23 10:18:23 ERROR Failed to get valid proposal.
2 2005-09-23 10:18:23 ERROR Failed to process Packet.
3 2005-09-23 10:18:53 INFO responde new phase 2 negotiation
4 2005-09-23 10:18:53 INFO Begin Identity Protection mode.
5 2005-09-23 10:18:53 ERROR Only a single transform payload is allowed during phase 1 processing.
6 2005-09-23 10:18:53 ERROR DB(prop#1:trns#1):Peer(prop#0:trns#0) = DES-CBC:7
7 2005-09-23 10:18:53 ERROR DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
8 2005-09-23 10:18:53 ERROR no suitable proposal found.