Доброго времени суток!
Описание ситуации: есть 3х DFL-600 (прош. 3.29) и 2х DFL-700 (прош. 1.33), одна из которых в качестве центрального узла. Топология звезда. VPN IPSEC между всеми железками и центром поднялся и нормально работает.

Проблема такая: при обрыве канала на несколько минут DFL-600 и DFL-700 периодически не могут самостоятельно восстановить соединение - повисают на фазе 1. В логах INVALID FLAGS.

Если зайти в настройки тунеля на DFL-600 и не меняя параметров сказать Apply тунель восстанавливается. Как лечить такую ситуацию?

Настройки VPN такие:
Phase 1 Proposal
Mode = Main
DH Group = Group2
IKE Life Duration = 28800
IKE Hash = SHA1
IKE Encryption = 3DES
Phase 2 Proposal
PFS Mode = Group2
IPSec Operation = ESP
IPSec Life Duration = 3600
ESP Transform = 3DES
ESP Auth = HMAC-SHA1

ЗЫ. 2 DFL-700 стабильно восстанавливают связь в такой ситуации.

Два вопроса:
1) Вы пишите, что эта проблема у обоих DFL, а потом внизу, что только у DFL-600
2) В результате чего рвётся канал?

Проблема в связках DFL-600 <=> DFL-700, во всех 3х таких связках аналогичные проблемы!!! Причем ситуация не постоянная, т.е. иногда восстанавливается без проблем. Например при перезагрузке центрального DFL-700 в 90% случаев связь с произвольным из DFL-600 восстанавливается, а в 10% нет, от чего зависит не понятно. Но диагностика всегда одинакова INVALID FLAGS. Передергивание тунеля на DFL-600 (вход в редактирование и без изменения параметров Apply) помогает всегда.

Связка DFL 700 <=> DFL-700 восстанавливается без проблем в той же ситуации, проверял.



Каналы Москва-Питер. Последняя миля - радиоканал. Рвется по всей видимости от помех. Обычно на 5-10 секунд, иногда дольше, но редко больше 5 минут. Иногда маршрутизацию провайдеры перещёлкивают, причин много это в данном случае не суть. Канал восстанавливается полностью VPN - нет. В паралели одной из связок по тому же каналу сейчас работают 2 ISA сервера по PPTP, соединение между ними автоматически восстанавливается, а параллельная связка DFL 600 <=> 700 - нет.