имеем:
DFL-800 ( 2.20.03)

DI-804
DSL-G804
DI-LB604

Организованы подключения тунелями по принципу один ко многим у каждого устройства.
С недавнего времени возникли проблемы с тунелями в связке с DFL-800 (где указанный девайс стоит в центре звезды).
Лог изобилует сообщениями:
2009-09-06
23:45:18 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Invalid payload type" local_peer="83.239.76.хх ID No Id" remote_peer="83.239.75.хх ID No Id" initiator_spi="ESP=0x614c574f, AH=0x04421607, IPComp=0x703b2f3"
2009-09-06
23:45:18 Warning IPSEC
1802715


event_on_ike_sa

side=Responder msg="failed" int_severity=6
2009-09-06
23:45:18 Warning IPSEC
1800106


ike_invalid_payload

local_ip=83.239.76.хх remote_ip=83.239.75.хх cookies=614c574f044216070703b2f3b7e9598f reason="Invalid payload type in encrypted payload chain, possibly because of different pre-shared keys"
2009-09-06
23:45:14 Warning IPSEC
1800106


ike_invalid_payload

local_ip=83.239.76.хх remote_ip=83.239.75.хх cookies= reason="IKE_INVALID_COOKIE"


2009-09-06
23:26:24 Warning IPSEC
1800106

ike_invalid_payload

local_ip=83.239.76.xx remote_ip=83.239.75.xx cookies= reason="IKE_INVALID_COOKIE"

Что могло повлиять на устройство которое пару месяцев никто не торогал? - не могу понять.

В качестве решения попробовал собрать все тунели на нём заново с нуля следую факу(ключи проверял - совпадают). Поскольку все устройства кроме дфл-800 имеют динамические адреса то в создании тунеля там где "Remote Endpoint:" указываю "dns:somename.org", где somename.org динимаческий днс присвоенный при получении нового адреса устройством.

Пока в списках интерфейсов IPSec присутствует одна запись с
"dns:..." DFL-800 крехтя ругаясь через раз соединение устанавливает,... а может в лёт с первой попытки завязать....
Ну а если появляется ещё одна запись с "dns:..." - тунель не поднимится вообще ни на одном направлении.

на DI-lb604 в логе
2009/09/06 21:41:37 Info. ike Start with Main mode
2009/09/06 21:41:37 Info. ike Start phase1 negotiation
2009/09/06 21:41:37 Info. ike Phase1 SA not found, start negotiation
2009/09/06 21:41:37 Error ike Failed to complete phase1 negotiation (timeup)
2009/09/06 21:41:27 Error ike Isakmp error : no proposal chosen
2009/09/06 21:41:17 Error ike Isakmp error : no proposal chosen
2009/09/06 21:41:07 Error ike Isakmp error : no proposal chosen
2009/09/06 21:40:57 Error ike Isakmp error : no proposal chosen
2009/09/06 21:40:47 Error ike Isakmp error : no proposal chosen
2009/09/06 21:40:37 Error ike Isakmp error : no proposal chosen
2009/09/06 21:40:37 Info. ike Phase1 Initiator(Main) : 1st
2009/09/06 21:40:37 Info. ike Phase1 SA not found, start negotiation
2009/09/06 21:40:37 Error ike Failed to complete phase1 negotiation (timeup)


Что это может быть?
Ведь работало исправно

Что написано, то и есть - DFL не нравятся ваши PSK.

Если это проявляется только с одним устройством, то проверяйте параметры на нем.

Если это со всеми - то у вас возможно есть еще один IPsec с другим PSK, на который возможно подключение с того же интерфейса.

А вообще - у вас один IPsec на всех или много?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

обновился до 2.25.01
ситуация та же

на каждое внешнее устройство свой IPSec.
странность в том что до этого устройство всё устраивало.

после прошивки в статусах IPSec видим:
Remote Gateway: [Resolving]

тобиш удалённые точки заданные как "dns:nameEndPoint.org"- не разрешаются должным образом - динамические IP не подставляются.
Однако,
по истечению некоторого времени эти "[Resolving]" подменяются на
реальные IP... - и тунель поднимается в лёт.
Проблема возвращается после ребута DFL в связи со сменой конфигурации и опять имеем подолгу нудно висящие "[Resolving]"

Проблема на стороне DFL:

В общем DFL просто на входящие запросы "поднять тунель" не знает какое правило применять ибо по непонятной причине определение этого множественнного "dns:nameEndPoint.org" происходит бесподобно неопределённо долго. Решение проблемы лежит видимо в разрешении проблемы в работе с задаинем адресов в виде "dns:..."

Это скорей всего вопрос к саппорту ИМХО. .....ау!

Пока писал пост выше....
что-то меня толкнуло на мысль сменить DNS сервер моего провайдера на OpenDNS - и о чудо ....тунели начали подниматься!

на OpenDNS адреса вида "dns:..." - резольвятся на раз

Видимо в ответах от DNS моего провайдера не всё нравится DFLу, может время ответа???????????


PS пинать: провайдер ЮТК Краснодарский край...... в этом странность поведения устройства и объясняется - что ни с того ни с чего вдруг перестало всё работать,...а трудилось раннее успешно.

Как вариант, у вас динамический тоннель находиться выше статического, отсюда и возникает проблема. Попробуйте опустить динамический тоннель в самый низ.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Динамических тунелей в настройках нет.