Был настроен VPN канал между DFL-100 (прошивка 1.37) и Cisco PIX506 с использованием IPSec.
Сделано было всё по инструкции и работало около 3-4 месяцев. Последний раз проверялась работа 30 апреля. После 1-4 мая, во вторник, 5 мая, перестал работать канал VPN. Никакие настройки не менялись.
Пытался удалять все настройки и забивать по новой, как с одной, так и с другой стороны - нет результата. На Cisco заведены ещё несколько каналов, как от подобных DFL-100 ( 1.37), так и от подобных PIX506 - остальные каналы работают.
Обновлял прошивку до 2.25 - результат не изменился.
В настоящий момент "направить" канал на другое оборудование, чтобы проверить в чём именно дело - не могу.
Включил на Cisco - debug crypto isakmp. Увидел в числе прочих следующую строчку -
VPN Peer:ISAKMP: Peer Info for Х.Y.Z.130/500 not found - peers:7

X.Y.Z.A - адрес DFL-100
Насколько я понимаю, где-то здесь объяснение сбоя.

Итак, из-за чего мог "упасть" нормально работающий VPN канал?

Насколько можно судить по дебагу - cisco не может достучаться по ip к DFL-100. Для начала бы неплохо проверить, если вообще связь между устройствами на уровне ip.

_________________
С уважением, Карагезов Владислав

ping с Cisco на DFL-100 проходит. Обратно - тоже.
попробовал подобрать статистику небольшую: из 6500 пакетов пропало около 1500 (~20 %). Время задержки от 220 до 900 мс, среднее 233.
DFL-100 удалённо конфигурить получается, хотя и с трудом.

Удалось попробовать настроить канал с другой Cisco-результат тот же.
Вот вывод на другой Cisco после включения debug crypto ipsec , debug crypto isakmp:

[b]ISAKMP (0): beginning Main Mode exchange
ISAKMP (0): retransmitting phase 1...IPSEC(key_engine): request timer fired: count = 1,
(identity) local= A.B.C.114, remote= X.Y.Z.130,
local_proxy= 192.168.77.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4)

ISAKMP (0): retransmitting phase 1...
ISAKMP (0): deleting SA: src A.B.C.114, dst X.Y.Z.130
ISADB: reaper checking SA 0xf9f44c, conn_id = 0 DELETE IT!

VPN Peer:ISAKMP: Peer Info for X.Y.Z.130/500 not found - peers:1

ISADB: reaper checking SA 0xf9ecc4, conn_id = 0IPSEC(key_engine): request timer fired: count = 2,
(identity) local= A.B.C.114, remote= X.Y.Z.130,
local_proxy= 192.168.77.0/255.255.255.0/0/0 (type=4),
remote_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4)

далее всё повторяется.

A.B.C.114 -адрес Cisco
X.Y.Z.130 - адрес DFL-100
192.168.77.0 - внутренняя сеть за Cisco
192.168.2.0 - внутренняя сеть за DFL-100.

На самом DFL-100 в меню VPN статистики показано, что канал "Broken", иногда "Negotiating P1".

Т.е. когда Вы вместо DFL-100 ставите еще один Cisco PIX - то вот этот вот лог, так? Если да - то проблема, скорее всего не в настройке устройств. А ваш провайдер ничего случайно не менял в своих настройках?

_________________
С уважением, Карагезов Владислав

Не совсем так. У нас стоит Cisco PIX 506, в другом городе - DFL-100, в третьем - ещё один PIX 506, в четвёртом - ещё один DFL-100. Все они завязаны через VPN на наш PIX. Когда перестал работать VPN канал с одним DFL-100, для проверки я попытался поднять канал между ним и другим PIX'ом. Лог в предыдущем ответе - из этого варианта. В любом из случаев - связи нет. Можно, конечно, попытаться связать DFL c другим таким же, но не уверен в результате. Все остальные каналы работают нормально.
Удалённый провайдер, возможно, и менял чего-нибудь, но как это можно гарантированно проверить?

Как я понял порт для isakmp - 500, пытался на него обратиться телнетом - telnet X.Y.Z.130 500 - не получается, но и на другие устройства (Cisco и DFL) тоже подобное подключение не проходит.

ISAKMP использует по-моему UDP 500. У Вас потери 20% Может быть в этом дело?

Гарантированно проверить - позвонить провайдеру и спросить. Не буду далеко ходить за примером - мы пытались организовать туннели между офисами D-Link по России и все безуспешно, пока не связался с провайдером и не выяснил, что этот сервис был прикрыт. Открыли. )))
Ну и еще проверить работоспособность самого DFL-100

_________________
С уважением, Карагезов Владислав

Точно! Мать их за ногу, извиняюсь за выражения !
"Деловая сеть-Братск" в целях борьбы с вирусами ( по их словам), отключила ряд портов, в том числе и 500. Без предупреждений. Нехорошие люди.
Сейчас VPN-канал поднялся, всем спасибо за помощь.
Буду дальше разбираться с "зависаниями" DFL-100

))) "Ларчик просто открывался!" Ну не принято у наших провайдеров еще сервис обеспечивать на уровне! Печально...

_________________
С уважением, Карагезов Владислав