Есть 5 удаленных офисов по всей России. В центральном офисе стоит DFI-800, во всех удаленных DI-808HV. Прошивки все последние.
VPN каналы в целом работают уже второй год.. но проблему решить досих пор не могу. Сейчас эта проблема стала актуальной!
До всех удаленных офисов поднят VPN IPSec. С непонятной периодичностью теряются пакеты между локалками.
Ниже приведу пример с одним офисом, но этот пример актуален и для других с большей или меньшей проявлением проблемы.
Тестируем:
даем команду ping 172.16.2.1 -t (LAN порт удаленного DLINK)
параллельно даем команду ping 196.33.44.55 -t (WAN порт удаленного DLINK)
и наблюдаем в течении 60 минут.
Пинг на WAN порт без потерь! 100% доставленных пакетов
Пинг на LAN порт потери 5% c непостоянным интервалом (от 20 до 60 сек) по 1-2 пакета дропяться.... именно эти дропнутые пакеты и создают проблему обрыва терминальных сессий.
В логах обоих Dlink (и центральный и удаленный) пусто... даже каких либо сторонних ошибок хотябы косвенно влияющих на проблему отследить не получается... все чисто.
Кто сталкивался с таким?? подскажите в какую сторону смотреть и где пробывать искать проблему?

а сам тунель при этом падает? есть логи в DFL-800 о поднятии тунеля повторно?, каков средний пинг до удаленных точек? потеря пакетов идет по несколько штук подряд или 1 пакет всего теряется за 1 мин?

нет тунель не падает, в логах DFL вcе чисто ровно как и в логах DI-808.
потеря пакетов нестатична, когда 1 когда 2 пакета редко 3, потеряется с интервалами от 20 до 120 секунд...
время задержки пакетов
при пинге WAN от 13 до 18 ms
при пинге LAN от 17 до 22 ms

PS может ли как то влиять параметр MTU на потерю пакетов?

Это возможно из-за плохого качества канала, или наличия шумов, пакет повреждается.

Неисключено, так как практически на всех удаленных точках стоит ADSL.
Но разве наличия нестабильности канала может затрагивать только VPN пакеты не трогая обычные??
Можно ли как то оптимизировать конфигурацию VPN путем уменьшения уровня шифрования или иными способами достичть устойчивости VPN?
Неисключен вариант замена удаленных точек на другие модели например DFL-210 или DFL-800 (хоть и для 3 пользователей это слишком много, но цель получить устойчивый VPN канал)

Тут даже дело не в том какое устройство ставить, а в том, что контроль ошибок несколько иной. Если у вас ADSL интернет, так же стоит обратить внимание на значение MTU, в торону его уменьшения, желательно на компьютерах, это тоже несколько может помочь

а вот это можно поподробней? в моделях DI и DFI разный уровень контроля и исправления ошибок? в центральном офисе есть в резерве DI-800 хочу попробывать отправить в региональный офис и протестировать. Имеет смыл? или нет?


Все тесты сейчас провожу исключительно с локальным портом удаленного DLINK, уменьшение MTU на DLINK результата не дало..(хотя MTU там затрагивает лишь WAN port)
на компах менять MTU смысла невижу.. если теряются пинги между двумя DLINK о компах и речи пока не стоит навреное заводить.

Не у DFL-DI а у самого IPSec, как такового у него нет контроля ошибок, он может запросить повтор поврежденного пакета, сам контроль ошибок осуществляется протоколами другого уровня.

поставь не всё в канал.....и всё по идеи будет гуд)

Понятно. Если не трудно ответье еще на один вопрос. Имеет ли смысл переводить VPN на L2TP или PPoE.

не понял? что вы имете ввиду? пустить в канал VPN только определенные протоколы и порты?

Ну грубо говоря да.

Снижение уровня шифрования и длины ключа, возможно разрешит вашу проблему.
Сталкивалась с подобным, когда удаленный хост висел на Скайлинке,
связь никакая и при высокой секюрности IPSec в терминале работать было просто невозможно

пробывал первым делом не помогло... все осталось на том же уровне.
Подскажите протокол L2TP более помехоустойчив чем IPsec?

сомневаюсь, ведь L2TP сервер работает через ipsec тунель, вам поможет скорее замена провайдеров на нормальны эзернет, хотя у нас одно время IPsec на DFL-800 с обоих сторон работал нормально или мы просто не замечали, т.к. не так критично и ipsec валится только при потере 3-5 пакетов...