Добрый день уважаемые товарищи.
Имеется сеть по топологии звезда.

Центральный узел DFL 870 (прошивка DFL-870-11.10.01.06, NetDefendOS Version: 11.10.01.06-31272 Feb 1 2017)
На узлах территорий DFL 860E (прошивка DFL-860E-11.10.01, , NetDefendOS Version: 2.27.30.03-26422 Apr 8 2015)

В центр (DFL 870) на WAN1 подается интернет (untag) и передача данных для территорий (tagVLAN1765).
На центре на порту WAN1 (base interface) настроен VLAN 0x810 IEEE 802.1Q (сеть 192.168.63.0/24, ip-адрес центра 192.168.63.1).
На территории (DFL 860E) порт WAN1 воткнут в tag-порт "железяки" провайдера в том же самом VLAN1765 (ip-адрес территории например 192.168.63.5).

Локалка центра 10.18.161.0/24 (адрес DFL 10.18.161.197).
Локалка территории 192.168.2.0/24 (адрес DFL 192.168.2.254). Другие территории аналогично по шаблону.

Периодически рвется связь между центром и территорией: 15-30 минут работает без проблем, потом связь рвется на 10-30 секунд, потом все восстанавливается).
При этом устройства не перегружаются (локально все работает, нет только связи центра с территорией: проверяем постоянным ping между хостами в VLAN 192.168.63.1 и 192.168.63.5).
При этом от провайдера (вытащили с их стороны порт в этот же VLAN) ping не рвется.
На железке провайдера у нас вытащили отдельные порты (изолированные) в том же VLAN и в центре и на территории. Воткнули туда компы в серой сетке 192.168.63.0/24.
Между компами пинг идет, а пинг на DFL - рвется, что на территорию, что на центр.
Маршрутизация простейшая (серая сетка территории на адрес нужного шлюза VLAN: таблица машрутизации центра и территории и Policies см. ниже).

Проблема со всеми территориями, а не только с этой конкретной.
Железку в центре меняли (и на другую 870 и на аналогичную территориям 860E)... на территоиях тоже меняли.
Уже не знаю, что и думать ЧЯДНТ???


В центре IPv4 Routing table
Flags Network Interface Gateway Local IP Metric
192.168.63.1 core (Iface IP) 0
172.17.100.254 core (Iface IP) 0
92.255.xxx.xxx core (Iface IP) 0
10.18.161.197 core (Iface IP) 0
127.0.0.1 core (Shared IP) 0
192.168.63.0/24 VLAN1765 30
192.168.2.0/24 VLAN1765 192.168.63.5 50
192.168.4.0/24 VLAN1765 192.168.63.28 50
192.168.5.0/24 VLAN1765 192.168.63.97 50
192.168.6.0/24 VLAN1765 192.168.63.95 50
192.168.7.0/24 VLAN1765 192.168.63.126 50
192.168.8.0/24 VLAN1765 192.168.63.10 50
10.18.4.0/24 VLAN1765 10.18.161.1 80
10.18.2.0/24 VLAN1765 10.18.161.1 80
10.18.5.0/24 VLAN1765 10.18.161.1 80
10.18.4.0/24 wan1 10.18.161.1 80
10.18.2.0/24 wan1 10.18.161.1 80
10.18.5.0/24 wan1 10.18.161.1 80
10.18.4.0/24 lan1 10.18.161.1 80
10.18.2.0/24 lan1 10.18.161.1 80
10.18.5.0/24 lan1 10.18.161.1 80
10.18.161.0/24 lan1 100
92.255.XXX.0/24 wan1 110
10.112.0.0/16 VLAN1765 10.18.161.1 80
10.112.0.0/16 wan1 10.18.161.1 80
10.112.0.0/16 lan1 10.18.161.1 80
224.0.0.0/4 core (Iface IP) 0
0.0.0.0/0 wan1 92.255.XXX.XXX 110


Территория (192.168.63.5/192.168.2.0/24) IPv4 Routing table
Flags Network Interface Gateway Local IP Metric
172.17.100.254 core (Iface IP) 0
192.168.63.5 core (Iface IP) 0
192.168.2.254 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
10.18.161.0/24 wan1 192.168.63.1 50
192.168.4.0/24 wan1 192.168.63.28 50
192.168.5.0/24 wan1 192.168.63.97 50
192.168.6.0/24 wan1 192.168.63.95 50
192.168.7.0/24 wan1 192.168.63.126 50
192.168.8.0/24 wan1 192.168.63.10 50
192.168.2.0/24 lan 100
192.168.63.0/24 wan1 100
224.0.0.0/4 core (Iface IP) 0
0.0.0.0/0 wan1 192.168.63.1 100

Main IP Rules
# Name Src_If Src_Net Dest_If Dest_Net Service Address_Translation

1. AllowVW_Group_VLAN-LAN VLAN1765 all-nets lan1 VW_GroupIP all_services SRC:NAT
2. AllowVW_Group_LAN-VLAN lan1 VW_GroupIP VLAN1765 all-nets all_services SRC:NAT
3. AllowVPN VPN_Server all-nets any all-nets all_services
4. AllAllow_VLAN-LAN VLAN1765 all-nets lan1 all-nets all_services
5. AllAllow_LAN-VLAN lan1 all-nets VLAN1765 all-nets all_services
6. ping_fw any all-nets any all-nets ping-inbound
7. lan1_to_wan1
7.1. inet_WAN1-VLAN1765 wan1 all-nets VLAN1765 all-nets all_tcpudpicmp SRC:NAT
7.2. inet_VLAN1765-WAN1 VLAN1765 all-nets wan1 all-nets all_tcpudpicmp SRC:NAT
7.3. drop_smb-all lan1 lan1_net wan1 all-nets smb-all SRC:NAT
7.4. allow_ping-outbound any all-nets any all-nets ping-outbound SRC:NAT
7.5. allow_ftp-passthrough_av lan1 lan1_net wan1 all-nets ftp-passthrough-av SRC:NAT
7.6. allow_standard lan1 lan1_net wan1 all-nets all_tcpudpicmp SRC:NAT
8. Port_FWD
8.1. SAT_PBX any all-nets core wan1_ip sip-udp DST:SAT(10.18.161.39)
8.2. NAT_PBX any all-nets core wan1_ip sip-udp SRC:NAT
8.3. SAT_PBX_Voice any all-nets core wan1_ip Oktell_Voice DST:SAT(10.18.161.39)
8.4. NAT_PBX_Voice any all-nets core wan1_ip Oktell_Voice SRC:NAT
8.5. SAT_DNS_AD_UDP any all-nets core wan1_ip dns-udp DST:SAT(10.18.161.30)
8.6. NAT_DNS_AD_UDP any all-nets core wan1_ip dns-udp SRC:NAT
8.7. SAT_DNS_AD_TCP any all-nets core wan1_ip dns-tcp DST:SAT(10.18.161.30)
8.8. NAT_DNS_AD_TCP any all-nets core wan1_ip dns-tcp SRC:NAT

10.18.4.0/24 VLAN1765 10.18.161.1 80
10.18.2.0/24 VLAN1765 10.18.161.1 80
10.18.5.0/24 VLAN1765 10.18.161.1 80
про это просветите ?! че то я мало понимаю как это ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

VLAN1765 это "плоский Ethernet" по всем территориям...
Соответственно все что идет из/в сети 10.18.4.0/24, 10.18.5.0/24 и т.п. перенаправлять на другой маршрутизатор 10.18.161.1.
Без этого маршрута в эти сети может ходить только LAN центра, а территории не могут...

там косяк
10.18.4.0/24 wan1 10.18.161.1 80
10.18.2.0/24 wan1 10.18.161.1 80
10.18.5.0/24 wan1 10.18.161.1 80
конечно этих маршрутов не должно быть...
Но даже с отключенными, все равно связь рвется

и да, маршруты
10.18.4.0/24 VLAN1765 10.18.161.1 80
10.18.2.0/24 VLAN1765 10.18.161.1 80
10.18.5.0/24 VLAN1765 10.18.161.1 80

тоже конечно глупость...
отключил... но разрывы продолжаются

поставили вместо DFL на территории RouterBOARD сделав аналогичные настройки, все прекрасно работает без разрывов...
но надо, чтобы работало на DFL.

могу только одно посоветовать - ставте рядом Syslog и сливайте логи на него ...
смоделировал похожую ситуацию дома - работает ...

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Один "очень сертифицированный" человек порекомендовал избавиться от мультитага.
Разделили порт на стороне прова, отдельно унтаг на интернет и отдельно на передачу данных - и разрывы прекратились...
Проблема "отпала", но причина не понятна (все было сделано как в RTFM).
На вопрос почему - он ответил "... потому, что не все оборудование DLink одинаково хорошо... и многозначительно посмотрел на стену со своим иконостасом с серификатами по киске держа в руках туполинк"...