Есть два DFL-800: А и B. На обеих прошивка 2.12.00.44-1874

Настройки A:
WAN1 – static fake IP + PPTP client (static public IP)
WAN2 – static fake IP + PPPoE client (dynamic public IP)
Настроено и работает резервирование – WAN1 основной, WAN2 резервный

Настройки B:
WAN1 – static public IP

Между A и B поднят ipsec-туннель (со стороны A с указанием Remote Endpoint, со стороны B динамический):
Аутентификация – PSK
IKE algorithms – high
IKE lifetime – 28800
IPSEC algorithms – high
IPSEC lifetime – 3600
На обеих сторонах разрешен DPD и запрещен KA

Все необходимые правила, для пропуска трафика из lannet(A) в lannet(B) и наоборот, прописаны. Также есть правило, разрешающее пинговать из туннеля lanip(B).

Все вышеперечисленное настроено и работает. Теперь о возникшей проблеме: исходное положение – A работает через WAN1, в туннеле постоянно присутствует трафик (в тесте использовался непрерывный пинг из lannet(A) на lanip(B))

Теперь, в связи с отвалом WAN1, происходит переключение A на резервный WAN2. Само переключение происходит довольно долго – 1.5-2 мин. После переключения туннель заново поднимается и работает.

Когда, на строне A, происходит обратное переключение на WAN1, то: само переключение быстрое – 5-7 сек. Туннель поднимается (видно по логам), но трафик по нему не идет. Нормальное поведение восстанавливается только если убить SA на обеих сторонах или дождаться истечения IPSEC lifetime. Более того, с вероятностью примерно 50%, несмотря на наличие разрешающего правила, в логе на стороне B появляются записи о дропах ICMP с src из lannet(A) и dst lanip(B)

На данный момент, чтобы все это хозяйство приемлемо работало, приходится использовать очень низкий IPSEC lifetime. И это не спасает, когда используется аутентификация сертификатами – всегда приходится убивать SA руками.

Очень хочется, чтобы вышеописанная проблема была исправлена.

И, попутно, вопрос – какой минимально необходимый набор x509 extensions должен присутствовать в самоподписанном сертификате, чтобы его можно было использовать в устройстве?

Спасибо.

По поводу настройки failover посмотрие пожалуйста документ:
ftp://ftp.dlink.ru/pub/FireWall/IPSec_f ... HQ_VER.zip
К сожалению время переключения не сократить.
По поводу информации по сертификатам в аттаче.

Станислав, моя схема не подпадает под failover, описанный в документе. У меня на одной из сторон используется только один WAN.

Время переключения тоже устраивает.

У меня есть мнение, основанное на полученных результатах, что в описанной мной схеме, устройства работают некорректно. Пожалуйста либо подтвердите это мнение, либо скажите, что данная схема неприменима и работать не должна.

Касательно сертификатов - в предложенном Вами документе описан случай с использованием CA. Меня же интересуют self-signed сертификаты.

Спасибо.

При использовании механизмов DPD и KeepAlive удаляться будет SA и маршрут будет удаляться. По поводу дропов, для разрешения пинга lan_ip через туннель, нужно создать разрешающее правило
ipsec_tun/rem_net -> core/lan_ip

За точность не скажу, но думаю, что:
commonName
countryName
stateOrProvinceName
0.organizationName
emailAddress

Спасибо за ответы, Станислав.

Очевидно я плохо описал проблему, если мы не можем друг-друга понять. дело в том, что указанное Вами правило есть, и оно работает. Как раз одним из фактов, на которых основано мое мнение о некорректной работе устройства, как раз и является наличие дропов при наличии этого правила.

Если Вы не возражаете, то через несколько дней логи, возможно конфиги и другую необходимую информацию, я отправлю Вам в личку или на почту?

Спасибо.

Отправьте пожалуйста эту информацию Сергею Васильеву. <svasiliev@dlink.ru>

И чем закончилось????