Имеем центральный DFL-800 и несколько DI-804HV. Между ними настроен IPSec. Периодически тунель между каким нибудь DI и DLF-ом перестает работать и в логах на DFLе сыпится вот это:

16:18:21] FW: IPSEC: prio=3 id=01800106 rev=1 event=ike_invalid_payload local_ip=192.168.1.1 remote_ip=192.168.1.2 cookies= reason="IKE_INVALID_COOKIE"
16:18:21] FW: IPSEC: prio=3 id=01800106 rev=1 event=ike_invalid_payload local_ip=192.168.1.1 remote_ip=192.168.1.2 cookies= reason="IKE_INVALID_COOKIE"
16:18:21] FW: IPSEC: prio=3 id=01800106 rev=1 event=ike_invalid_payload local_ip=192.168.1.1 remote_ip=192.168.1.2 cookies= reason="IKE_INVALID_COOKIE"

Проблема решается путем ребута DI. Очень это напрягает, потому что нужно постоянно следить за состоянием тунеля. Прошивака и на ДИ и на ДФЛ последняя. Есть ли какое-нибудь решение этой проблемы?

такая же беда..., мож где-то что не так настроено конечно хотя в этом уже давно сомневаюсь, ибо параллельно висят несколько 210х , и там проблем никогда небыло.

У меня это обычно возникает когда "где-то" между DFL и DI с любой стороны пропадает на секунду и-нет или из этой серии , то всё - DI тупо не может "восстановить " тунель, 210е в это-же врмя с этим справляются на ура. Причем допустим из одного "сегмента" так сказать допустим 5 из 6ти DI804 восстанавливают канал а 6й нет, и так далее.
...я уже смирился =\

да, проблема действительно возникает при небольшом провале инета. И из 10 ДИ виснет 2.

аналогично коллега... мож что конечно из саппорта подскажут но я уже спрашивал раньше =), ничего полезного кроме как " проверьте настройки, прошейти прошивки ит.д не советовали ..ибо проблема плавающая =(.

p/s я у себя наделал ярлыков, и ребучу удаленные 804е 2мя кликами, вот ссылочка мож полезно будет =), ибо у мну их под 40 и порой ребутить убивает =(
http://IP-Dlink/x.htm?RC=@mis&ZT=1189418191531

Спасибо за совет! Осталось придумать, как сделать автоматический ввод логин-пароля

"сохранить пароль" галочку поставь =) (в IE или любом другом броузере).
( ну на кноку "ОК" при сохарненном пароле всеравно нажать придется) в любом случаее быстрее чем через меню ребутить каждый раз =)

Да, так и придется сделать. Еще раз спасибо

Да незачто... =)
p/s хотя всё ещё надеюсь все-таки что-то от поддержки дельного услышать.

если проблема в IKE, то вариантов несколько
1) Не совпадают времена жизни.
Проверить настройки
2) Нет настройки keep-alive, которая отвечает за синхронизацию SA в устройствах.
Установить механизм keep-alive. В этом случае если нет туннеля устройство удалит невалидную SA(другими словами это равнозначно ребуту) Так же проверьте, что на DFL !не стоит! настройка DPD, который не поддерживается DI

у мну:
1. время жизни совпадают конечно.
2. keep-alive стоит
Станислав, а уточните пожалуйста как именно keep-alive должен быть настроен (включен только на DI, Только на DFL(Auto , manual?) ,на обоих устройствах)
3. dead peer detection отключен...

з.ы на DI (зависание) выглядит так: написано что тунель подключен, и время жизни продолжате убывать, но уже ничего не работает на DFL сыпится лог приведённый выше TinMen
Когда время жизни на DI добегает до нуля, остаёться написано 0, и тунель мол по прежнему ESTABLISHED., и кнопка (drop\reconnect не помогает), только ребут железки.

Какая прошивка на DI?
Прицип действия KeepAlive прост:
устройства будут пинговать друг друга через туннель и есть будет пинг, считается что туннель есть и никаким манипуляций с SA не происходит.
настроить просто:
DI-804 установить в качестве IP адреса LAN_IP DFL
DFL-xxx !!разрешить пинг из туннеля lan_ip!!
allow ipsec/remnet -> core/lan_ip ICMP
в настройках DFL указать в ручную адрес lan_ip DI.

на DI у меня прошивк от Firmware Version: V1.50b08 , до V1.51b03 ( это зависание на всех прошивках вплоть до последней наблюдаю).
попробую на DFL устновить вручную, сейчас там Auto.(где single тунели lan-to-lan).

А как бы с тунелем, который у меня слелан как бы сказать - на DFL он один с remote_net x/16 , и в него подключается порядка 20 DI с сетями x\24. - тут только Auto ведь (про keep alive)?

Ещё раз заранее спасибо за помощь!

Там ничего не получится, никакого контроля вообще нет. Auto работает только dfl-dfl...

Настраиваю, проверяю. Спасибо за помощь!

теперь понятно, у меня даже на DFL-DI было auto.
Будем пробовать перенастраивать =)

ещё раз Огромное спасибо!.