Проблема следующая..
Пол года назад был поднят VPN между DFL-210 и DI-808HV и работал без всяких проблем. Неделю назад начала наблюдаться следующая картина: VPN тоннель разрывается, перезапуск DFL-210 ничего не дает, перезапуск DI-808HV решает проблему, но не надолго... на 10-15 минут...
Были подозрения на некорректную работу DI-808HV, поэтому ее заменили на новый DI-804HV. Симптомы те же. Логи DI-804HV:
----------------------------------------------------------------------------------------
Tuesday October 28, 2008 10:08:08 Send IKE Q1(QINIT) : 192.168.12.0 --> 10.1.1.0
Tuesday October 28, 2008 10:08:13 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:08:18 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:08:28 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:08:38 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:08:58 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:08:59 Send IKE (INFO) : delete [192.168.12.0|62.33.135.146]-->[91.185.49.38|10.1.1.0] phase 2
Tuesday October 28, 2008 10:08:59 IKE phase2 (IPSec SA) remove : 192.168.12.0 <-> 10.1.1.0
Tuesday October 28, 2008 10:08:59 inbound SPI = 0x15010010, outbound SPI = 0x0
Tuesday October 28, 2008 10:08:59 Send IKE Q1(QINIT) : 192.168.12.0 --> 10.1.1.0
Tuesday October 28, 2008 10:09:04 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:09:09 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:09:19 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:09:29 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:09:49 IKED re-TX : QINIT to 91.185.49.38
Tuesday October 28, 2008 10:09:50 Send IKE (INFO) : delete [192.168.12.0|62.33.135.146]-->[91.185.49.38|10.1.1.0] phase 2
Tuesday October 28, 2008 10:09:50 IKE phase2 (IPSec SA) remove : 192.168.12.0 <-> 10.1.1.0
Tuesday October 28, 2008 10:09:50 inbound SPI = 0x16010010, outbound SPI = 0x0
Tuesday October 28, 2008 10:09:50 Send IKE Q1(QINIT) : 192.168.12.0 --> 10.1.1.0
Tuesday October 28, 2008 10:09:55 IKED re-TX : QINIT to 91.185.49.38.

---------------------------------------------------------------------------------------
Пинг у провайдера к которому подключен DI-804HV стабилен. Проблем с интернетом нет, но есть неподтвержденная информация о том что была какая-то замена оборудования у провайдера. Скажите, пожалуйста, в чем может быть дело?

собственно такая же проблема..., есть парк 804hv которые по IPSec подключаются к DFL ..., если что либо случается с каналом и как бы тунель обрываеться то всё - 804 не может заново подключится к DFL, - лечиться только перезапуском 804-х, в этоже время к DFL поключаются другие DFL - и у них с восстановлением канала проблем нет... на 804 - D-Link_804HV_V1.50b08.BIN прошивка...

что не делал как лечить безпонятия...
если смотреть в VPn статус на 804 - там обычно написано видно тонель подключен, а на самом деле его нет, ..лайф тайм бежит до нуля а потом так и остатаётся висеть...

Обновите прошивку на DI до последней версии. Так же можете провести диагностику тоннеля используя встроенный в DFL механизм ikesnoop http://www.mediafire.com/?7tjyngmnmzv

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Сергей, файлик этот читал, ikesnoop использовал...только понять почему 804 после обрыва связи не может "переподключиться" не удается, вот лог с консоли... может вы сможете помочь?


и так до посинения...? вижу что с Security Association не так что-то... только что и как лечить?

может какие неверные настройки на DFL или на 804?... хоть как бы понять что не так... ибо скоро удаленных уже будет за 3й десяток а руками каждрый раз при каком-то сбое - ребутить такое кол-во 804hv всё сложнее и сложнее...

заранее спасибо.

p/s прошивку до V1.51b03 обновлю..только в release_notes ничего про ipsec ит.п нету..

Я проверю, соберу схему. Проблема описаная вами была актуальна для старой прошивки на DI. Так же возможно что IKE и IPSec life time не идентичны на устройствах.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо. будем ждать.
оба life time идентичны 100%. (у меня по крайне мере).,

Очень интересно чем все закончилось.

Я сейчас столкнулся с похожей проблемой.

Прошивки стоят последние. Пинг у провайдеров стабильный.


П.С.

Помимо этого на DFL-210 настроен L2TP-сервер. Если подключаться к нему из-за DI-804HV, то картина очень похожа - весьма нестабильный канал. Если роутер убрать и воткнуть вместо него обычную машину и с нее установить подключение к DFL, то канал держится отлично.

У роутера и у DFL включенны keep alive? активированны ли механизмы NAT-T или dpd на DFL?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Посмотрите пожалуйста эту тему:
viewtopic.php?t=95808&start=0&postdays=0&postorder=asc&highlight=DI-808HV+%D1%82%D1%83%D0%BD%D0%B5%D0%BB%D1%8C
, там несколько хороших советов от Станислава Козлова., которые "отчасти" решили мою проблему (там где это было возможно)., можте и вам поможет, обратите внимание на настройку DPD, и keep-alive которая НЕ должна быть врежиме Auto.

тема уже довольно старенькая =))), но в посте выше есть ссылка на тему где возможно была найдена причина проблемы -

Просто нигде раньшен не слышал что режим auto тольк между DFL работает, я прописал жестко ip адреса keep-elive где смог (т.е там где у меня были single тунели lan-to-lan), ... разбить тунель в который подключаются порядка 40ка DI пока возможности (времени =) .. не особо... =)

Большое спасибо. Учел это при настройке.

Вообще же у меня проблема решилась контрольным сбросом в заводские настройки, перепрошивкой и настройкой с нуля (хотя уверен, что настройки один-в-один).