Туннель на базе dfl-200 и dfl-900. Время от времени этот туннель падает - перестают ходить пакеты. При этом оба устройства говорят, что туннель поднят.
Происходит это после того, как dfl-200 переустанавливает соединение (судя по логам), но не всегда - раз в несколько дней.
Настройки на обоих устройствах одинаковые.
Если зайти на dfl-200 и закрыть поднятый туннель, происходит переподключение, и туннель опять начинает нормально работать.
Прошивки на обоих устройствах последние, с ftp.dlink.ru
Подскажите, как это исправить?

вот логи dfl-200 в момент пропадания канала:


[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 SA ESP[da6d0e8f] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [857,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.0.0/19) dst=ipv4_subnet(any:0,[0..7]=172.16.32.0/24)
[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 SA ESP[00000100] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [857,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.32.0/24) dst=ipv4_subnet(any:0,[0..7]=172.16.0.0/19)
[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 857 with 2 SA's by rule 12:`ipsec ipv4_subnet(any:0,[0..7]=172.16.32.0/24)<->ipv4_subnet(any:0,[0..7]=172.16.0.0/19)(gw:ipv4(any:0,[0..3]=172.19.1.3))'
[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 SA ESP[416c2b91] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [856,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.0.0/19) dst=ipv4_subnet(any:0,[0..7]=172.16.32.0/24)
[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 SA ESP[00000100] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [856,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.32.0/24) dst=ipv4_subnet(any:0,[0..7]=172.16.0.0/19)
[2007-03-13 09:41:18] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] done bundle 856 with 2 SA's by rule 12:`ipsec ipv4_subnet(any:0,[0..7]=172.16.32.0/24)<->ipv4_subnet(any:0,[0..7]=172.16.0.0/19)(gw:ipv4(any:0,[0..3]=172.19.1.3))'
[2007-03-13 09:41:16] <6>EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(udp:500,[0..3]=172.19.12.131) and ipv4(udp:500,[0..3]=172.19.1.3) done.
[2007-03-13 09:41:12] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.8 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:41:08] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.8 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:41:07] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.12 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:41:03] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.12 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:41:01] <6>EFW: IPSEC: prio=1 SA ESP[c4ef73d4] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [855,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.0.0/19) dst=ipv4_subnet(any:0,[0..7]=172.16.32.0/24)
[2007-03-13 09:41:01] <6>EFW: IPSEC: prio=1 SA ESP[00000100] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [855,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.32.0/24) dst=ipv4_subnet(any:0,[0..7]=172.16.0.0/19)
[2007-03-13 09:41:01] <6>EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 855 with 2 SA's by rule 12:`ipsec ipv4_subnet(any:0,[0..7]=172.16.32.0/24)<->ipv4_subnet(any:0,[0..7]=172.16.0.0/19)(gw:ipv4(any:0,[0..3]=172.19.1.3))'
[2007-03-13 09:41:00] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=172.19.1.3 connsrcport=500 conndestif=core conndestip=172.19.12.131 conndestport=500
[2007-03-13 09:40:52] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.14 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:40:48] <5>EFW: DROP: rule=Default_Access_Rule action=drop recvif=WAN srcip=172.16.32.14 destip=255.255.255.255 ipproto=UDP ipdatalen=308 srcport=68 destport=67 udptotlen=308
[2007-03-13 09:40:23] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=IKERule srcip=172.16.0.30 destip=172.16.32.1 ipproto=UDP ipdatalen=58 srcport=137 destport=137 udptotlen=58
[2007-03-13 09:40:22] <5>EFW: DROP: prio=2 rule=dropall-final action=drop recvif=IKERule srcip=172.16.0.30 destip=172.16.32.1 ipproto=UDP ipdatalen=58 srcport=137 destport=137 udptotlen=58

вот логи dfl-900:

181 2007-03-13 09:40:37 INFO IPsec-SA expired: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3979062383(0xed2bac6f)
182 2007-03-13 09:40:37 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
183 2007-03-13 09:40:37 INFO IPsec-SA expired: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
184 2007-03-13 09:40:37 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
185 2007-03-13 09:40:37 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3304027092(0xc4ef73d4)
186 2007-03-13 09:40:37 INFO purged IPsec-SA Proto_id=ESP 3979062383.
187 2007-03-13 09:40:51 INFO purged IPsec-SA Proto_id=ESP 3304027092.
188 2007-03-13 09:40:51 INFO Purging ISAKMP-SA cb5bdf01ca7b98d8:240120e2cd2ffd8f.
189 2007-03-13 09:40:51 INFO purged IPsec-SA 256.
190 2007-03-13 09:40:52 INFO purged IPsec-SA 256.
191 2007-03-13 09:40:52 INFO purged ISAKMP-SA cb5bdf01ca7b98d8:240120e2cd2ffd8f.
192 2007-03-13 09:40:52 INFO IPsec-SA request for 172.19.12.131 queued due to no phase1 found.
193 2007-03-13 09:40:52 INFO Initiate new phase 1 negotiation: 172.19.1.3:500<=>172.19.12.131:500
194 2007-03-13 09:40:52 INFO Begin Identity Protection mode.
195 2007-03-13 09:40:52 INFO received Vendor ID: DPD
196 2007-03-13 09:40:53 INFO ISAKMP-SA deleted 172.19.1.3:500-172.19.12.131:500
197 2007-03-13 09:40:53 INFO ISAKMP-SA established 172.19.1.3:500-172.19.12.131:500
198 2007-03-13 09:40:54 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
199 2007-03-13 09:40:54 INFO Respond new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
200 2007-03-13 09:40:54 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
201 2007-03-13 09:40:54 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3664580239(0xda6d0e8f)
202 2007-03-13 09:40:54 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
203 2007-03-13 09:40:54 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 1097608081(0x416c2b91)
204 2007-03-13 09:40:55 INFO purged IPsec-SA Proto_id=ESP 1097608081.

Какие прошивки на устройствах?

dfl-200: Firmware version: 1.34.00
dfl-900: Firmware Version: NetOS Ver2.115 (WALL) #b: Fri May 26 02:12:32 CST 2006

На устройстве DFL-200 используется keep alive?
Попробуйте использовать одинаковые времена жизни IKE и ESP

Да, используется Manually configured keepalives.
Время жизни одинаковое, phase1 - 10800, phase2 - 3600. Или имеется ввиду phase1=phase2 ?

Что еще можно сделать?

Уберите keep-alive и сделайте времена phase1=phase2

Убрал keep-alive, сделал времена 3600, сегодня утром опять линк завис.
Что еще можете посоветовать?

Приведите логи обоих устройств при такой схеме.
У Вас точно совпадают DH группы? Туннель падает так же после реинитализации?

IKE DH Group: 2
PFS DH Group: 2
на обоих устройствах.

Логи:
DFL-900. Обрыв произошел в районе 8:30-8:40:

11 2007-03-14 07:34:03 INFO IPsec-SA expired: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 559945255(0x21601627)
12 2007-03-14 07:34:03 INFO IPsec-SA expired: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
13 2007-03-14 07:34:06 INFO Respond new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
14 2007-03-14 07:34:06 INFO purged IPsec-SA Proto_id=ESP 559945255.
15 2007-03-14 07:34:06 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
16 2007-03-14 07:34:06 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
17 2007-03-14 07:34:06 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 2976258251(0xb16618cb)
18 2007-03-14 07:34:07 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
19 2007-03-14 07:34:07 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3605969547(0xd6eeba8b)
20 2007-03-14 07:34:07 INFO purged IPsec-SA Proto_id=ESP 2976258251.
21 2007-03-14 07:46:01 INFO Purging ISAKMP-SA 0637a34770f598cc:bfaddc711c364e82.
22 2007-03-14 07:46:01 INFO purged IPsec-SA 3605969547.
23 2007-03-14 07:46:01 INFO purged IPsec-SA 256.
24 2007-03-14 07:46:01 INFO purged ISAKMP-SA 0637a34770f598cc:bfaddc711c364e82.
25 2007-03-14 07:46:01 INFO IPsec-SA request for 172.19.12.131 queued due to no phase1 found.
26 2007-03-14 07:46:01 INFO Initiate new phase 1 negotiation: 172.19.1.3:500<=>172.19.12.131:500
27 2007-03-14 07:46:01 INFO Begin Identity Protection mode.
28 2007-03-14 07:46:01 INFO received Vendor ID: DPD
29 2007-03-14 07:46:02 INFO ISAKMP-SA deleted 172.19.1.3:500-172.19.12.131:500
30 2007-03-14 07:46:02 INFO ISAKMP-SA established 172.19.1.3:500-172.19.12.131:500
31 2007-03-14 07:46:03 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
32 2007-03-14 07:46:03 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
33 2007-03-14 07:46:03 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 2681783587(0x9fd8c523)
34 2007-03-14 08:34:04 INFO IPsec-SA expired: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 2681783587(0x9fd8c523)
35 2007-03-14 08:34:04 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
36 2007-03-14 08:34:04 INFO IPsec-SA expired: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
37 2007-03-14 08:34:04 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
38 2007-03-14 08:34:05 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 270354244(0x101d4744)
39 2007-03-14 08:34:05 INFO purged IPsec-SA Proto_id=ESP 2681783587.
40 2007-03-14 08:46:01 INFO Purging ISAKMP-SA 7242733d93883f1f:e91a6d6c01dcec6f.
41 2007-03-14 08:46:01 INFO purged IPsec-SA 270354244.
42 2007-03-14 08:46:01 INFO purged IPsec-SA 256.
43 2007-03-14 08:46:01 INFO purged ISAKMP-SA 7242733d93883f1f:e91a6d6c01dcec6f.
44 2007-03-14 08:46:02 INFO ISAKMP-SA deleted 172.19.1.3:500-172.19.12.131:500
45 2007-03-14 08:46:33 INFO IPsec-SA request for 172.19.12.131 queued due to no phase1 found.
46 2007-03-14 08:46:33 INFO Initiate new phase 1 negotiation: 172.19.1.3:500<=>172.19.12.131:500
47 2007-03-14 08:46:33 INFO Begin Identity Protection mode.
48 2007-03-14 08:46:33 INFO received Vendor ID: DPD
49 2007-03-14 08:46:33 INFO ISAKMP-SA established 172.19.1.3:500-172.19.12.131:500
50 2007-03-14 08:46:34 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
51 2007-03-14 08:46:34 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 256(0x100)
52 2007-03-14 08:46:34 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3247733399(0xc1947a97)
53 2007-03-14 08:51:12 INFO purged IPsec-SA Proto_id=ESP 3247733399.
54 2007-03-14 08:51:12 INFO Purging ISAKMP-SA dcb7c3a34a3be8aa:e7bf18e47d4eb67a.
55 2007-03-14 08:51:12 INFO purged IPsec-SA 256.
56 2007-03-14 08:51:12 INFO purged ISAKMP-SA dcb7c3a34a3be8aa:e7bf18e47d4eb67a.
57 2007-03-14 08:51:13 INFO Respond new phase 1 negotiation: 172.19.1.3:500<=>172.19.12.131:500
58 2007-03-14 08:51:13 INFO Begin Identity Protection mode.
59 2007-03-14 08:51:13 INFO received Vendor ID: DPD
60 2007-03-14 08:51:13 INFO ISAKMP-SA deleted 172.19.1.3:500-172.19.12.131:500
61 2007-03-14 08:51:13 INFO Request for establishing IPsec-SA was queued due to no phase1 found.
62 2007-03-14 08:51:13 WARNING Ignore INITIAL-CONTACT notification, because it is only accepted after...
63 2007-03-14 08:51:14 INFO ISAKMP-SA established 172.19.1.3:500-172.19.12.131:500
64 2007-03-14 08:51:14 INFO Initiate new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
65 2007-03-14 08:51:14 INFO Respond new phase 2 negotiation: 172.19.1.3:0<=>172.19.12.131:0
66 2007-03-14 08:51:14 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 237664645(0xe2a7985)
67 2007-03-14 08:51:14 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 2679176806(0x9fb0fe66)
68 2007-03-14 08:51:15 INFO IPsec-SA established: ESP/Tunnel 172.19.12.131:0->172.19.1.3:0 50283767(0x2ff44f7)
69 2007-03-14 08:51:15 INFO IPsec-SA established: ESP/Tunnel 172.19.1.3:0->172.19.12.131:0 3786123649(0xe1aba981)
70 2007-03-14 08:52:24 INFO purged IPsec-SA Proto_id=ESP 3786123649.


dfl-200:

[2007-03-14 08:49:37] <5>EFW: CONN: rule=IPsecBeforeRules conn=close connipproto=UDP connrecvif=WAN connsrcip=172.19.1.3 connsrcport=500 conndestif=core conndestip=172.19.12.131 conndestport=500 origsent=812 termsent=0
[2007-03-14 08:47:27] <6>EFW: IPSEC: prio=1 SA ESP[c1947a97] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [45,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.0.0/19) dst=ipv4_subnet(any:0,[0..7]=172.16.32.0/24)
[2007-03-14 08:47:27] <6>EFW: IPSEC: prio=1 SA ESP[00000100] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [45,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.32.0/24) dst=ipv4_subnet(any:0,[0..7]=172.16.0.0/19)
[2007-03-14 08:47:27] <6>EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 45 with 2 SA's by rule 3:`ipsec ipv4_subnet(any:0,[0..7]=172.16.32.0/24)<->ipv4_subnet(any:0,[0..7]=172.16.0.0/19)(gw:ipv4(any:0,[0..3]=172.19.1.3))'
[2007-03-14 08:47:25] <6>EFW: IPSEC: prio=1 Phase-1 [responder] between ipv4(udp:500,[0..3]=172.19.12.131) and ipv4(udp:500,[0..3]=172.19.1.3) done.
[2007-03-14 08:47:25] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=172.19.1.3 connsrcport=500 conndestif=core conndestip=172.19.12.131 conndestport=500
[2007-03-14 08:37:08] <5>EFW: CONN: rule=IPsecBeforeRules conn=close connipproto=UDP connrecvif=WAN connsrcip=172.19.1.3 connsrcport=500 conndestif=core conndestip=172.19.12.131 conndestport=500 origsent=400 termsent=0
[2007-03-14 08:35:01] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=ESP connrecvif=WAN connsrcip=172.19.1.3 connsrcid=0 conndestif=core conndestip=172.19.12.131 conndestid=0
[2007-03-14 08:34:57] <6>EFW: IPSEC: prio=1 SA ESP[101d4744] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [44,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.0.0/19) dst=ipv4_subnet(any:0,[0..7]=172.16.32.0/24)
[2007-03-14 08:34:57] <6>EFW: IPSEC: prio=1 SA ESP[00000100] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [44,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=172.16.32.0/24) dst=ipv4_subnet(any:0,[0..7]=172.16.0.0/19)
[2007-03-14 08:34:57] <6>EFW: IPSEC: prio=1 Phase-2 [responder] done bundle 44 with 2 SA's by rule 3:`ipsec ipv4_subnet(any:0,[0..7]=172.16.32.0/24)<->ipv4_subnet(any:0,[0..7]=172.16.0.0/19)(gw:ipv4(any:0,[0..3]=172.19.1.3))'
[2007-03-14 08:34:56] <5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=172.19.1.3 connsrcport=500 conndestif=core conndestip=172.19.12.131 conndestport=500


Так же замечено, что когда перестают ходить пакеты, в статусе vpn у dfl-200, в "Listing of active IKE SAs - all tunnels" появляется не одна строчка с установленным туннелем, а две-три-четыре, все одинаковые.

Вы точно убрали KeepAlive с устройств?
Потому как такое возможно из-за того, что одно из устройств, а точнее DFL-900 удаляет запись о SA. И пытается установить новую сессию
Попробуйте включить прохождение PING'a на LAN_IP через туннель на 200-м.
Sys->Admin-> имя IPsec туннеля -> галка ping

Прохождение пинга на всех интерфейсах было разрешено.
На dfl-200 перепроверил, keep-alive отключен. А у DFL-900 вообще нет опции keep-alive.

Ниразу не встречал подобных проблем, раньше они были до выхода 2.115 когда небыло синхоронизации SA.
Присылайте конфиги мне на почту с описанием проблемы и описанием LAN_IP и пролями на доступ.
Как вариант можно открыть доступ для управления извне.

Отправил Вам письмо на емейл