Странная вещь творится.

ПредСкриптум: Здесь идалее идёт речь о Static VPN IPSec AH tunnel.

3 подсети. первая и вторая из них связаны через DI-804HV. подняты 2 VPN на IPSEC AH. Третья сеть через ISA server2004 и Open VPN связана со второй сетью.
Действовал чётко по инструкции в ФАКе"Как настройть VPN между двумя сетями".

Первый туннель поднялся. Но мне надо чтобы первая сеть видела третью.
Тогда по аналогии создал 2 VPN туннеля(второй туннель всё равно падал). Так как шифрование сильно кушало производительность я перевёл оба туннеля на такие параметры:

IKE proposal:
N1 Group1 DES MD5 28800 sec
Tun1 IKE proposal index = N1 (И только его)
N1 Group1 DES MD5 28800 sec
Tun2 IKE proposal index = N2 (И только его хотя доступны оба)
Ipsec Proposal
N1_2 Group1 AH None MD5 3600 sec.
Tun1 IPSec proposal index = N1_2 (И только его)
N2_2 Group1 AH None MD5 3600 sec.
Tun2 IPSec proposal index = N2_2 (И только его хотя доступны оба)

Сначала всё выглядело нормально. Потом обнаружилось что второй туннель регулярно отваливается. Также обнаружил что для второго туннеля надо ставить на одном из роутеров autoreconnect а на другом убирать reconnect. Потому что он не соединяется. Вручную позволяет а автоматически никак. Настройки обоих туннелей абсолютно одинаковы. КРОМЕ имён туннелей, подсетей, имён пропосалов и соответственно порядка пропосалов. Пропосалов на обоих туннелях только по одному , тому который соответствует.
В DH group на обоих туннелях выбраны Group1. почитал про DH. понял что это никак не влияет.

Итак: автоконнект на первом туннеле есть. на втором туннеле нет автореконнекта . кликаем на Establish . Всё пошло на ура. Меняем настройки на обоих роутерах на второй туннель на автореконнект. Первый как и раньше соединяется. Второй в вечном затупе(Establishing) кнопка Drop Не приводит к нужному результату. Реконнектить второй туннель можно только вручную , убрав на любом из роутеров для второго туннеля галочку автореконнект. а потом в статусе VPN нажав кнопочку Reconnect.

Может на втором туннеле надо пропосалов оба ставить и первый и второй?

Пробовал перепрошить на свежую прошивку от DLINK. Всё прошилось. Проблема осталась той же.

Как заставить второй туннель автореконнектица?
Может как-то задержку добавить чтобы одновременно 2 туннеля не пытались реконектица? Но в настройках нет задержки.

1.Почему время сессии меньше, чем у первого ? Для чего ?
2. Логи не грех бы показать (после отвала 2-го туннеля и начала попытки снова соединиться)

1) Почему меньше ? для обоих туннелей они одинаковы.
Это для IKE и IPSec они отличаются. но это всё согласно FAQ.

Monday November 27, 2006 14:57:55 Warming : delete IPSec tunnel because remote subnet no response

о как!.
Поправил время.
Стёp Keep Alive Ping Address. Эт ошибка исчезла Автореконнект на второй туннель не проходит. Просто не проходит. пишет в статусе Establishing и всё. На кнопку Drop не реагирует. В логах пусто по поводу второго канала и причин отваливания.

Перевёл второй канал на DH group 2. Теперь он отваливается на одном из концов. а на другом пишет что Established. ГЛЮК?

Через некоторое не смог зайти на роутер через HTTP. пишет BUSY!
Есть подозрение что один из роутеров глючный.
Вот только вопрос какой? тот который пишет что Established (а на самом деле нет) или тот который пишет Establishing(и неустанавливает связь)?

По-моему не стоит связывать отваливание одного из туннелей с глючностью конкретного экземпляра DI-804HV. Несколько раз пытался настроить больше одного туннеля между двумя такими девайсами - всегда результат был похож на описанный Вами. Ни разу одновременно два, три туннеля стабильно не работали.

Не понял схемы подключения.
У вас два 804 друг с другом поднимают 2 туннеля?
Вообще, если я правильно помню, 2 туннеля на один IP вообще не должны работать. Как выход использовать более широкую подсеть.
Например с маской /23

Да. По крайней мере у меня так.

Работают, но не долго (хотя когда как).
Один туннель на 10.xxx.xxx.xxx/15, другой на 192.168.xxx.xxx/24.
Что-то не могу сообразить, как их объединить в один

Ну да, такие подсети не объеденишь.
просто если бы подсети были, например, 192.168.0.0/24 и 192.168.1.0/24, то их можно было объединить в одну 192.168.0.0/23
и все решалось бы одним туннелем.