Приветствую. Имеется устройство DFL-260E FW 2.27.05.34-16777
единственный WAN интерфейс на котором прописано 4 туннеля VPN 2 из которых идут в центральный офис на основной и резервный каналы соответственно, были настроены маршруты ( основной и резервный) и некоторое время все работало хорошо, но в момент очередного переключения на резерв в главном офисе канал перестал подниматься ( при этом маршрутизация отрабатывала переключение основной-резервный маршрут)
Более глубокий анализ показал следующее:
1) на DFL
ikesnoop -on WAN2 -v
2013-09-12 18:04:04: IkeSnoop: Received IKE packet from WAN2:500
2013-09-12 18:04:04: IkeSnoop: Other end retransmitted its packet
2013-09-12 18:04:04: IkeSnoop: Cannot resend response; packet just sent
2013-09-12 18:04:12: IkeSnoop: Received IKE packet from WAN2:500
2013-09-12 18:04:12: IkeSnoop: Other end retransmitted its packet
2013-09-12 18:04:12: IkeSnoop: Cannot resend response; packet just sent
так же показывает принятые и переданные сообщения IKE обмена, т.е. некоторые сообщения приходят и уходят
SA показывает как установившиеся

2) с другой стороны работает cisco ASA5505
IKE Peer: 80.254.103.184
Type : user Role : initiator
Rekey : no State : MM_WAIT_MSG2
из лога видно что идет обмен но 1 фаза незаканчивается положительным результатом, для остальных туннелей
( которые нормально устанавливаются) появляется сообщение вида PHASE 1 COMPLETED
настройки IKE на cisco для обоих интерфейсов ( основного и резервного) одинаковые, на DFL тоже
совпадающие настройки с обоих сторон есть
В чем может быть проблема?

лучше начать с прошивки 2.40.04.08 for WW

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Дело в том что устройство находится под постоянной нагрузкой и перепрошивка - это совсем крайний случай, требующий значительных организационных усилий.
Есть ли средство решения проблемы или более глубокой диагностики на данной прошивке?

Перепрошивка не требует значительных организационных усилий. Она приводит к перерыву сервиса только на ~1 мин. Я перепрошивал даже дистанционно и ни разу не было проблем. Если же локально и предварительно сделан полный бэкап (конфиг+система), то даже в самом маловероятном случае, если новая прошивка не запустится (у меня такого не было ни разу!), сброс кнопкой с последующим восстановлением из бэкапа займет не более 30 мин.

2alex63 Спасибо за Ваш опыт. К сожалению в моем случае для сброса кнопкой и последующим восстановлением необходим выезд на удаленный объект и согласование допуска, что собственно и составляет значительную часть организационных усилий.
Поэтому пытаюсь разобраться в проблеме с помощью диагностических средств и помощи техподдержки.

Согласен. При штатном сценарии нештатной прошивки можно уложиться и минут в 10-15.

Я прошивал DFL удаленно несколько десятков раз.

И лишь однажды столкунулся с необходимостью сброса и наката прежней конфигурации.
И еще однажды все прошилось хорошо. Но устройство пришлось принудительно перезагрузить по питанию.

Но если подготовить человека на удаленном объекте, то он вполне справится с восстановлением под руководством по телефону. И тут тоже можно вписаться в 30 минут.

А на глючной прошивке вы можете вечно не решить проблему.
O><O vs. 30'

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Доброго дня, Хотел бы снова поднять тему.
Как и рекомендовалось обновил маршрутизатор до 2.40.04.08-21460, к сожалению проблема осталась.
Некоторые опыты показали что можно удалять или Disable туннельный интерфейс и связанные с ним правила и маршруты, после этого все некоторое время отлично работает, затем спустя время проблема появляется снова.
Подскажите что можно предпринять в этом случае или какие дополнительные диагностические мероприятия провести.
Спасибо.

Попробовал выполнить тестовое подключение проблемного устройства к другому DFL с аналогичной прошивкой.
В результате на проблемном устройстве туннель на поднимается выдает IkeSnoop: Other end retransmitted its packet
при этом показывает что SA created and Encryption Algorythm = des-cbc
на другом устройстве Encryption Algorythm = Unknown. и консоль показывает что данное устройство постоянно повторяет передачу IKE пакетов,
настройку ключа шифрования и все настройки туннеля проверял - везде одинаковые
причины найти никак немогу
Пробовал удалять туннели и SA на обоих сторонах диалога - не помогает

NAT на трассе есть?
Проверьте взаимную доступность устройств по несущей сети. Маршрутизация должна быть без петель (туда и обратно одним и тем же путем) и только в main (мне не удавалось заставить IPSEC работать через альт. таблицы).
Ну и, конечно, проверьте, чтобы на обеих сторонах был доступен одинаковый набор параметров.

NAT нет, на обоих сторонах провайдер выдает реальные адреса, сам провайдер ничего не фильтрует
взаимная доступность есть, на обоих устройствах, обмен по IKE происходит, но тормозит на промежуточном этапе.
Если судить по логам циски на другой стороне - циска отправляет 1й запрос - DFL принимает его за дублирующий и на этом процесс зависает, при этом DFL считает что туннель установлен а циска что SA State : MM_WAIT_MSG2
http://www.tunnelsup.com/isakmp-ike-pha ... s-messages данная ссылка объясняет состояние циски.
Со стороны DFL все пакеты уходят и приходят в единственного провайдера.
Самое непонятно то что DISABLE интерфейса впн и последующее Enable заставляют его работать, никакие настройки при этом не меняются как Вы сами понимаете.

C Циской не я делал, но Вы же писали, что у Вас и DFL<->DFL не поднялся (что работает у всех). Это и заставляет заподозрить косяк в настройках или проблемы на линии.

Что в логах DFL на момент зависания?

Наличие WAN2 показывает что у вас multi-wan конфигурация.
Покажите Status > Routes, есть ли альтернативные таблицы и PBR?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

2danilovav
альтернативных таблиц и PBR нет, WAN2 пока не используется и не подключен (физически)
2alex63
Пробовал подключать DFL как к циске так и к такому же ДФЛ, циской пользовался только потому что она выдает гораздо больше информации для мониторинга самого процесса.
Логи пока снять не могу, после крайнего раза устройство работает вполне себе стабильно, и свежих логов процесса нет. Буду регулярно пробовать переключать между каналами.