Всех приветствую!

помогите разобраться.
как DFL210 разделяет несколько ipsec туннелей между клиентами?


есть ipsec туннель Lan2Lan с фикс. IP. (на др. стороне monowall).
есть L2TP/ipsec сервер для мобильных клиентов.

по очереди они работают. но вот вместе никак.

после включения в настройках DFL L2TPшного ipsec туннеля через несколько часов отваливается Lan2Lan. либо сразу же после подключения мобильного клиента.
SA создаются, канал вроде как даже поднимается, но не работает. пакеты не ходят. на другой стороне начинает выскакивать в логах:
racoon: INFO: unsupported PF_KEY message REGISTER error и т.д.
причем отключение L2TP/ipsec не помогает. приходится руками удалять SA, SAD, SPD на обоих концах и через некоторое время канал поднимается.

уже начинаю склоняться к мобильным клиентам на PPTP.

У вас туннель до monowall - статический (с remote endpoint) или динамический (all-nets)? Два динамических туннеля работать не могут.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

до monowall статический.
второй all-nets. настроен по мануалу (how-to L2TP)

Поднимите его НАД динамическим туннелем.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

статический итак сверху. я предполагал, что порядок имеет значение.

Тогда показывайте настройки, логи на момент проблемы...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

- у ipsec инкапсуляция какая ?
- стоит крыжик Add route for remote network ?

Name / Local Net / Remote Net / Remote Endpoint / Auth / Encapsulation
remote_vpn / lannet / remotenet / remote_gw / PSK / tunnel
wan_vpn / wan_ip / all-nets / (none) / PSK / transport

у первого крыжик стоит. метрика самая низкая.
у второго нету.

есть хорошие и плохие новости.

хорошая в том, что два ipsec все таки заработали. при тех же настройках.

а плохая в том, что даже всего один ipsec канал рано или поздно перестает работать (от часа до нескольких дней). никакое шаманство на обоих сторонах не помогает.
канал устанавливается, но ничего не ходит. в этоге это вылечилось - перезагрузкой DFL. (аптайм был 4 дня).

при этом наблюдалась странная штука - List all active IKE SAs.
там обычно две записи, по виду одинаковые, но иногда бывают и с разными датой/временем.
они не всегда удаляются. причем очень часто нажимаешь на одну, а удаляется другая. и оставшаяся (уже давно выданная) не удаляется совсем. или появляется после обновления страницы. и даже поменяв тип шифрования на обоих сторонах, и применив настройки,
эта SA остается. разумеется после перезагрузки она пропала.

А от какого туннеля этот дублирующийся SA? Может быть, проблема в том, что у вас клиенты из-за NAT несколько криво подключаются?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

от единственного статического туннеля (второй я пока отключил).

иногда там несколько SA (из за обрывов канала и переподключений) и у них разное время (но не всегда)

еще понаблюдаю. канал сваливается где то раз в сутки.
(судя по логам на моноволе канал с руганью но все таки подключается. но пакеты через него перестают ходить)

Пакеты перестают ходить потому что из-за множества SA DFL не может определить правильное направление

У вас dead peer detection включен?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да, включен.
несколько SA возникают после падения канала и нового подключения.

несколько дней работало без сбоев, и вот сегодня опять подвис канал.
было два SA, первый выданный в 7 утра, второй в 15. причем при удалении, второй заменяется вновь созданным, а первый так и остается.
после перезагрузки DFL канал поднялся (full reboot, после quick так же не работало).