Вечер добрый!
Господа, пожалуйста подскажите где копать!

Необходимо соединить тунелем два офиса. В одном DFL800 на другом конце Di824vup+.
До этотого работало DI824vup+ <-> di824vup+ и было все ОК, однако Di в офисе исчерпал резерв производительности - растет трафик - растет количество тунелей.

В DFL800 завел PSK, IPSEC интерфейс (здесь все по дефолту, никакие галки не менял), адреса, подсети и пр. На удаленных роутерах ничего не изменял. Попробовал завести тестовый тунель - ве ок, пинг идет. Да только рано обрадывался...
Через некоторе время тунель рушиться. То некоторые пакеты (пинг) не проходят, то выпадает на несколько минут. На удаленных роутерах ситуация такая:
vpnspbipsec 192.168.0.0/255.255.255.0/194.186.xx.xxx 192.168.2.0/255.255.255.0 ESP tunnel Idle 3575

и ничего никуда не ходит. Если перегрузить удаленный di824vup+ какое-то время все работает, а потом опять...

дополняю информацию:

Когда происходит такой колапс, в логе 800-го появляется следующее:
2007-09-28
22:02:32 Warning IPSEC
01800106

ike_invalid_payload

rev=1 local_ip=194.186.251.x remote_ip=213.33.224.x cookies= reason="IKE_INVALID_COOKIE"

В "List all active IKE SAs" появляетcя целая куча дубликатов.

и происходит это как только несколько тунелей начинают активно использоваться...

Что посоветуете?

пошивки
dfl800: 2.12.00.44-1874
di824vup+: v1.06b09

1. Установите на DI-824 agressive mode
2. В настройках ipsec proposal установить DH Group 2.
2. На DFl-800 настройках ipseс тунеля, IKE переключите main mode на Aggressive.
3. В настройках IKE включите Perfect Forward Secrecy DH group2.

После этого должно все работать.
Буквально на прошлой неделе столкнулся с такой ситуацией.
При помощи сотрудников Длинк решили эту проблему.

_________________
все оказывается проще чем мы думаем

Проверь для начала настройки DFL-DI http://www.mediafire.com/?5une21ngje5 Если не поможет делай как описал -KSV-

2 nevis: все именно так и стояло.

2 -KSV-: Спасибо, обязательно попробую и отпишу в конфу.

2 DLink:
К сожалению не могу попробовать в ближайшее время - связь критически важна, поскольку заметил интересную обобенность: при переключении с роутера (в случае отката к предыдущей инфраструктуре) dfl800 на di824, удаленные di824 не хотят обратно подключатся. Некторые подключаются - некоторые нет. Мягкий рестарт удаленных роутеров не помогает.
Почему-то помогает изменение значения MTU удаленных роутеров (например в меньшую сторону, потом обратно).