Добрый день, коллеги!
Есть DFL260E который используется как интернет-шлюз (прошивка последняя, 12-я) и в роли сервера L2TP over Ipsec. На DFL настроено еще резервирование основного канала, но в этом случае наличие интернета необходимо только для локальной сети за DFL, подключение удаленных клиентов непринципиально, т.е. при отключении основного канала, DFL переходит на резервный, и в этом случае становится недоступен для удаленных клиентов.
Есть порядка 10 пользователей (удаленные клиенты все на windows), который цепляются к DFL и работают с доступными им ресурсами.
Mikrotik 1100 ahx4 (прошивка последняя стабильная на момент создания темы) также является клиентом, пользователям за микротиком доступен ряд ресурсов в локальной сети за DFL.
Вот что наблюдается: большую часть времени связь между двумя железяками относительно стабильна (есть обрывы, но незначительны), но порой микротик не может прицепиться к DFL очень длительное время. Контакт происходит только после того, как руками перезапускается DFL.
Микротик постоянно мониторится, из локалки за DFL он регулярно пингуется, также пингуется оборудование стоящее за микротиком.
В логах микротика видно, что он застревает на 1-й фазе, дальше соединение не проходит.
Если есть мысли на сей счет, просьба поделиться.

есть конечно ... !
надо выяснять в чем причина ...
посмотреть - нет ли зависшей сессии на DFL ?! Посмотреть часы (время) посмотреть логи на DFL (если не получается сделать SYSlog - смотреть там) поменять тип туннеля - например на L2tp.
исходя из полученной информации делать выводы ... Волшебного порошка нет ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Часы в норме, тип туннеля менять нельзя.
Логи есть, это уже запланировано.
А чуть более подробно рассказать про зависшую сессию на DFL можно?
С методологией решения проблем я знаком.
Я не прошу волшебного порошка, а хочу что бы участники форума поделились своими мнениями, возможно аналогичная или похожая ситуация у кого либо уже возникала.
И есть наработки по ее решению.

Дельных мыслей нет.

Как костыль можно попробовать применить скрипт, который на Mikrotik используют для подвисшего usb модема. Я его аналог использовал в подобной ситуации, Только тоннель был просто l2tp.

Суть проста, в планировщике каждые x минут проверяется, есть ли пинг DFL. Если нет - перезапуск туннеля на mikrotik (disable/enable). Мне помогает.

пример:


Вероятно, эти строки можно выкинуть без потери функционала.
:interface l2tp-client disable $WanName;
:delay 15;

и попытки логирования в файл тоже

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сделал следующее: на DFL в настройках IKE (Phase-1) выставил параметр Lifetime равный 86400, аналогично сделал и на Микротике.
И вот уже три дня полет нормальный.