Есть 11 офисов. В первом, главном - есть сервер, есть выделенный серв 1С, доменная структура, 15 машин. Во остальных десяти - от 10 до 20 станций, со своими контр. домена.
В всех офисах стоят D-Link DI-804HV, на них поднят VPN IPSEC канал.
Настройка VPN (и IKE Proposal и IPSec Proposal) были сделаны по мануалу. Через какое-то время начинают отваливаться туннели, т.е. "удаленный" рутер вполне себе пингуется по внешнему IP, в статусе на "главном" 804 в строке для "упавшего тоннеля" пишется статус соединения Establishing, но ESP tunnel не установлен. До тех пор пока удаленный или главный рутер не перегрузить ручками. Схема сети такова:
Главный: WAN: 182.31.42.46 LAN:192.168.50.201
Удал.офис1: WAN: 182.31.42.26 LAN:192.168.61.201
Удал.офис2: WAN: 182.31.42.36 LAN:192.168.62.201
Удал.офис3: WAN: 182.31.42.66 LAN:192.168.63.201
и т.д....

Во вкладке VPN указал 10 туннелей, разрешил Агрессив моду, в "IKE Keep Alive (Ping IP Address)" каждого туннеля (и с каждой стороны) указал IP ответных рутеров, IPSec NAT Traversal и Auto-reconnect - разрешены... Не действует - связь рвется постоянно. Все каналы на скорости 256к (не больше - провайдер шейпит скорость) - т.е. нагрузка на проц рутера невелика, разрывов связи на оборудовании провайдера нет - отслеживали качество коннекта совместно с провайдером.

Повторюсь, настройка VPN была сделана по мануалу, пока было 3 туннеля всё работало устойчиво, после добавления 4 туннеля и выше - всё начинает хаотично рваться... Хотя в описании DI-804HV заявлено: "Количество туннелей: 40 IPSec туннелей, ... 40 выделенных VPN-туннелей ... предоставляет гибкую реализацию VPN для обеспечения сохранности данных, а также аутентификацию до 40 удаленных офисов." В реалии начинаются траблы уже с 4 туннелей...

Писал в техсаппорт Д-Линка, посоветовали: "Укажите во вкладке VPN 15 туннелей, если это не поможет замените центральный DI на более мощьное устройство, например DFL-800". Не смешно... Боюсь, что с 800-м (по цене Киски) жизнь не улучшится.

Что я делаю не так? Чем можно устаканить всего 10 туннелей в этом Длинке?...
Спасибо!

Зря боитесь. Вам точно нужно более мощное устройство. DFL-800 или DFL-210.

DI-804 не справляется. Либо можете судиться с Д-Линк, что заявленные характеристики не соответствуют реалиям, либо построите работоспособную структуру на DFL в центре.

Ну и, наконец, Cisco тоже еше не распалась ...

OK, возможно. В качестве последних судорог - если попробовать уменьшить нагрузку проца на криптование туннеля, т.е. применить менее "прожорливый" алгоритм - что надо выбрать (как наименее ресурсоемкий) DES или 3DES? Сейчас стоит 3DES.
Какой механизм аутентификации - SHA1 или MD5?
Какую инкапсуляцию для IPSec Proposal - ESP или AH?

если бы все ставили cisko, то dlink умер бы как компания навсегда. это не первый случай неработоспособности оборудования именно этого бредна. не говорю, что все их модельки хлам. дорогие свичи, роутеры - работают хорошо, но что же касается бюджетного оборудования, то оно делается для продажи, но не для работы.

Любые наши устройства функционируют корректно если правильно сконфигурированны и эксплуатируются в том сегменте и для тех целей для которых спроектированы. У устройства есть предел производительности и не стоит забывать об этом.

Только у инженеров и маркетологов пределы почему-то разные. А цена одна...

Есть очень похожая трабла - IPsec туннель между двумя 804HV рвётся примерно каждые 80 секунд. Включён 3DES, SHA1 и ESP. У одной из машинок при этом сильно тормозит веб-интерфейс, подозреваю что тунель на ней валится. На обоих аппаратах прошивка 1.51b03, куплены вчера и пока живут на одном столе, соединённые патчкордами из комплекта. Подскажите как бороться.

помойка?

Дело по всй видимости не столько в количестве туннелей (хотя и это тоже), сколько в том что данный рутер предназначен для небольших сетей, у топик-стартера же сеть явно не небольшая (15комп.гл.офис+10х10комп.ост.офис=115комп. и это минимум, в реале может оказаться вообще более 200 компов), то есть изначально 804-ый не предназначен под такую задачу (что Вы хотите от рутера за 2т.р.?), так что топик-стартеру надо смотреть в сторону более производительных VPN-рутеров, и киски это, длинки или вообще комп с фряхой - не суть... Думаю что если Вы найдете рутер киски из этой же ценовой категории, или возьмете рутер киски предназначенный для малых сетей (как сабж), результат будет такой-же. К тому же из комментов топик-стартера не понятно что там с 1С делается, т.е. там её через терминал гоняют (по уму должно быть так), или же они по этим тонким каналам (256Кb/s) базы гоняют... Так что нефиг валить с больной головы на здоровую..., и вапще - кошкаводы включайте моцг прежде чем что-то написать

ЗЫ: Всё ИМХО естественно...

_________________
DIR-620

Приведите все настройки.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.