Соединил устройства на столе, настроил IPSEC туннель. Туннель поднимается и без сбоев работает примерно час. Затем соединение прерывается и заново не создается. В логах 808 error 16 и IKE re-TX, в логах dfl-210 ike invalid payload, а таблице появляется несколько IKE SA, хотя туннель только один. Пересмотрел все настройки, повторял их несколько раз, сбрасывая оба устройства - все то же. Подскажите, где грабли?
Да, временные настройки IKE и IPSEC туннеля одинаковы, версии 1.44b11 у DI-808 и 2.12.00 у DFL-210.

PFS выключено\включено на обоих устройствах?

В dfl-210 PFS отключен (none).
В di-808hv я такой опции не нашел (но и не включал) - в какой вкладке смотреть?
Не понимаю, почему при включении туннель устанавливается без проблем?

Посмотрите документ в аттаче

Спасибо, этот букварь я уже видел где-то в форуме. Тем не менее от безнадежности сейчас сделал все в точности, как в нем описано (кстати, настройка WAN IP там опущена). Симптомы почти те же. Вот выдержка из лога di-808 (в 00.25 туннель установлен, через час error 16)

Fri Feb 09 00:23:28 2007 Error:The IPSec proposal of Tunnel#2 is invalid, remove this tunnel information
Fri Feb 09 00:23:28 2007 Restarted by 192.168.0.20
Fri Feb 09 00:24:47 2007 Restarted by 192.168.0.20
Fri Feb 09 00:24:59 2007 Send IKE M1(INIT) : 192.168.110.100 --> 192.168.110.10
Fri Feb 09 00:24:59 2007 Receive IKE M2(RESP) : 192.168.110.10 --> 192.168.110.100
Fri Feb 09 00:24:59 2007 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Fri Feb 09 00:25:00 2007 Send IKE M3(KEYINIT) : 192.168.110.100 --> 192.168.110.10
Fri Feb 09 00:25:00 2007 Receive IKE M4(KEYRESP) : 192.168.110.10 --> 192.168.110.100
Fri Feb 09 00:25:00 2007 Send IKE M5(IDINIT) : 192.168.110.100 --> 192.168.110.10
Fri Feb 09 00:25:00 2007 Receive IKE M6(IDRESP) : 192.168.110.10 --> 192.168.110.100
Fri Feb 09 00:25:00 2007 IKE Phase1 (ISAKMP SA) established : 192.168.110.10 <-> 192.168.110.100
Fri Feb 09 00:25:00 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 00:25:00 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 00:25:00 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 00:25:00 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 00:25:00 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 00:25:00 2007 inbound SPI = 0x2000010, outbound SPI = 0x4d20bc09
Fri Feb 09 01:19:24 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:19:24 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:24 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:24 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:24 2007 error = 16
Fri Feb 09 01:19:24 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:24 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:24 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:24 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:24 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:24 2007 inbound SPI = 0x4000010, outbound SPI = 0x9d6eadfb
Fri Feb 09 01:19:25 2007 Warning : VPN tunnel full 2 used/2 max, reject 192.168.110.10 -> 192.168.110.100, packet type 32
Fri Feb 09 01:19:26 2007 Send IKE (INFO) : delete [192.168.0.0|192.168.110.100]-->[192.168.110.10|192.168.1.0] phase 2
Fri Feb 09 01:19:26 2007 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Fri Feb 09 01:19:26 2007 inbound SPI = 0x2000010, outbound SPI = 0x4d20bc09
Fri Feb 09 01:19:26 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:19:26 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:26 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:26 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:26 2007 error = 16
Fri Feb 09 01:19:27 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:27 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:27 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:27 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:27 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:27 2007 inbound SPI = 0x6000010, outbound SPI = 0x4856b7
Fri Feb 09 01:19:28 2007 Warning : VPN tunnel full 2 used/2 max, reject 192.168.110.10 -> 192.168.110.100, packet type 32
Fri Feb 09 01:19:28 2007 Send IKE (INFO) : delete [192.168.0.0|192.168.110.100]-->[192.168.110.10|192.168.1.0] phase 2
Fri Feb 09 01:19:28 2007 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Fri Feb 09 01:19:28 2007 inbound SPI = 0x4000010, outbound SPI = 0x9d6eadfb
Fri Feb 09 01:19:32 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:19:32 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:32 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:32 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:32 2007 error = 16
Fri Feb 09 01:19:32 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:32 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:32 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:32 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:32 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:32 2007 inbound SPI = 0x8000010, outbound SPI = 0x4177f5d7
Fri Feb 09 01:19:33 2007 Send IKE (INFO) : delete [192.168.0.0|192.168.110.100]-->[192.168.110.10|192.168.1.0] phase 2
Fri Feb 09 01:19:33 2007 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Fri Feb 09 01:19:33 2007 inbound SPI = 0x6000010, outbound SPI = 0x4856b7
Fri Feb 09 01:19:40 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:19:40 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:40 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:40 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:40 2007 error = 16
Fri Feb 09 01:19:40 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:40 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:40 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:40 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:40 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:40 2007 inbound SPI = 0xa000010, outbound SPI = 0xe828a273
Fri Feb 09 01:19:41 2007 Send IKE (INFO) : delete [192.168.0.0|192.168.110.100]-->[192.168.110.10|192.168.1.0] phase 2
Fri Feb 09 01:19:41 2007 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Fri Feb 09 01:19:41 2007 inbound SPI = 0x8000010, outbound SPI = 0x4177f5d7
Fri Feb 09 01:19:56 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:19:56 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:56 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:56 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:56 2007 error = 16
Fri Feb 09 01:19:56 2007 Send IKE Q1(QINIT) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:56 2007 Receive IKE Q2(QRESP) : [192.168.1.0|192.168.110.10]-->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:56 2007 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:19:56 2007 Send IKE Q3(QHASH) : 192.168.0.0 --> 192.168.1.0
Fri Feb 09 01:19:56 2007 IKE Phase2 (IPSEC SA) established : [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:19:56 2007 inbound SPI = 0xc000010, outbound SPI = 0x360ff274
Fri Feb 09 01:19:57 2007 Send IKE (INFO) : delete [192.168.0.0|192.168.110.100]-->[192.168.110.10|192.168.1.0] phase 2
Fri Feb 09 01:19:57 2007 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 192.168.1.0
Fri Feb 09 01:19:57 2007 inbound SPI = 0xa000010, outbound SPI = 0xe828a273
Fri Feb 09 01:20:26 2007 Receive IKE Q1(QINIT) : [192.168.110.10]-->[192.168.110.100]
Fri Feb 09 01:20:26 2007 Requested routing is [192.168.1.0|192.168.110.10]<->[192.168.110.100|192.168.0.0]
Fri Feb 09 01:20:26 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:MD5 HASH:Others PFS(Group):NONE
Fri Feb 09 01:20:26 2007 Try to match ESP with MODE:Tunnel PROTOCAL:Others AUTH:SHA1 HASH:Others PFS(Group):NONE
Fri Feb 09 01:20:26 2007 error = 16

Пожалуйста, прокомментируйте лог.
Мне непонятно, например, почему появляются записи
VPN tunnel full 2 used/2 max. Туннель-то всего один. В предыдущей конфигурации DI-808 у меня было установлен max 5 туннелей, так и до 5 доходило.
Непонятны проблемы с AUTH при установлении туннеля и почему они появляются через 54 с небольшим минут. Ведь при включении или рестарте устройств (или удалении всех активных IKE SA из таблицы dfl-210) туннель устанавливается сразу же и работает без сбоев эти 54 минуты!
Это глюк конкретного dfl-210 или что-то другое?

1. используйте колличество туннелей заведомо больше, например поставьте 5
2. В логе -- DFL посылает сообщение о переустановке второй фазы Q1, хотя она ещё не закончилась. Это говорит либо о использовании функции DPD либо о функции KeepAlive. Выключите все эти функции.

1. max 2 или 5 туннелей - не имеет значения, при 5 было 5 used/5 max.
2. Проверил.
Keep-alive была отключена и в DI-808, и в DFL-210.
Dead peer detection было отключено в DFL-210 в закладке IKE settings туннеля.
Все настроено в точном соответствии с приведенным Вами примером - могу выслать конфиги устройств. Тем не менее работает так, как я описал - со сбоями связи, появляющимися через примерно час работы.
DI-808 уже поменял сегодня, DFL-210 менять не на что.

Проблема решена включением aggressive mode и PFS (спасибо за совет Сергею Васильеву из техподдержки). Пользоваться примером, приведенном выше, imho стоит с учетом этих поправок.

Вопрос в связи с появлением прошивки 1.50 для DI-808
в release note указан фикс
Can't establish VPN tunnel with DFL device which disable pfs function.
Т.е. после обновления версии я смогу переключить устройства в main mode и отключить pfs? Aggressive mode не обязателен?
Хотелось бы уточнить это у техподдержки заранее, т.к. экспериментировать мне не на чем, а на рабочей конфигурации не дадут времени.