Имеется корпоративная сеть между офисами, организавання посредством IPSec.

Главный роутер - DFL-210, в филиалах в основном DFL-210(DFL-200), ноимеется и 2 офиса в которых стоит DI-824VUP и DI-804. Так вот тоннели между 210-210(200) держатся стабильно, а вот между 210 и 824 или 804 постоянно обрываются, переконнекчиваются, либо висят в idle.

Порекомендуйте пожалуйста оптимальные настройки IPSec для обоих концов - 210 и 824(804), потому как колдуя с паарметрами самостоятельно так и не настроить стабильную работу.

Все железки имеют реальные постоянные ип-адреса.

Спасибо!

В логах DFL-210 часто сыпятся ворнинги IPSec "IKE_INVALID_COOKIE"

какая прошивка на 804\824 ?

824VUP - Firmware Version: v2.00, Tue, Oct 03 2006
804HV - Firmware Version: V1.43, Thu, Jan 26 2006

НА 210 - 2.12.00.44-1877 Apr 27 2007

Первое, что скорее всего следует сделать, - это обновить прошивки на всех устройствах.
Для DFL-210 - ftp://ftp.dlink.ru/pub/FireWall/DFL-210/Firmware/2_20/
Для DI-824VUP (выберите свою ревизию устройства, но скорее всего у Вас Bx)- ftp://ftp.dlink.ru/pub/Router/DI-824VUP+/Firmware/
Для DI-808HV - ftp://ftp.dlink.ru/pub/Router/DI-808HV/Firmware/

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо, попробую...

А можно как-то узнать ревизию не имея фищического доступа к железке?

Затрудняюсь ответить. На коробке от устройства возможно. Но она, небось, на помойке давно?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да коробка может и есть в ящике дето. Просто там манагеры врядли смогут ее найти, просто прочтут мне по телефону все жуткие надписи )

Тогда возможно техподдержка скажет по дате покупки, какая это могла быть ревизия. Но судя по прошивкам скорее всего Bx

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вы оказались правы - Bx.
Перешивка крадинально ничего не поменяла... Может все-таки что-то неверно настраиваю...

824 и 804 отконфигурированы так:
Aggressive Mode: off
Далее сетки все указаны верно
IKE Keep Alive (Ping IP Address): none
IPSec NAT Traversal: off
Auto-reconnect: on
Remote ID: IP Address
none
Local ID: IP Address
none

IKE Proposal Index:
Group2 - 3DES - MD5 - 28800

IPSec Proposal Index:
Group2 - ESP - 3DES - MD5 - 3600

На DFL-210:

IKE Config Mode: none
Local ID Type: Auto
Aggressive: off
PFS: none
Security Association: per net
Dead Peer Detection: on
Keep-alive: auto

Кажется проблема решилась путем установки на 804 и 824

IPSec Proposal Index:
None - ESP - 3DES - MD5 - 3600

Понаблюдаю...

У меня почти та же проблема. Те же устройства купили пару дней назад. Сразу скачал прошивки свежие и перешил оба устройства. Проблема в том, что 824 иногда вроде как теряет канал. Хотя в статусе ВПН указывается, что канал подключен. Если дропнуть подключение и рекноонектнуть - канал поднимется опять. Адреса все статические. И еще. При нормальном подключении в статусе IPSec на 210-м указывается протокол вроде 3des-cbc, а когда канал падает, то в статусе выводит Unknown. Все настройки ВПН сделаны согласно инструкции сайта.