Добрый день.

Имеется DFL-800, к нему приходят 2 провайдера основной и резервный.
Есть DFL-210, стоит удаленно и держит канал с DFL-800 по IPSec.

Чтобы связь с удаленным dfl-210 не пропадала когда dfl-800 переходит на второй резервный канал, на 210-м в настройках IPSec, добавил в "Remote Endpoint" группу из 2-х внешних интерфесов 800-го ДФЛя.

И все бы хорошо, и все вроде сразу заработало, но... теперь через некоторое время трафик по туннелю перестает ходить (возможно тогда когда долго нет обмена данных по нему). А восстановить связь можно только двумя хитрыми способами:
1. с 800-го, пропинговать любое устройство в сети за 210-м
2. Вернуть все как было прежде. На 210-м "Remote Endpoint" только на 1-го провайдера. А затем через некоторое время опять переставить на группу из 2-х интерфейсов...

После этих манипуляций все снова начинает работать, ну и через некоторое время тунель опять падает..

Помоему бред какойто, либо я чтото не правильно настроил либо глюк непонятный, может кто знает в чем проблема, помогите разобраться пожалуйста...

Включите DPD и Keep alive между внутренними адресами DFL (не забудьте разрешающее правило).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Keep alive - это в настройках IPsec, в режим авто?

Если не сложно опишите пожалуйста как все это сконфигурировать, а то попробовал и чтото непонятно как то... (((

Лучше руками - от lan_ip DFL к удаленному lan_ip
И local IP выставьте в lan_ip

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Подскажите в каком разделе вэб-интерфейса DFL это делается?

Нет смысла включать одновременно эти две функции, ибо при включенном keep-alive функция DPD никогда не сработает по определению.
Для туннелей LAN-to-LAN самое лучшее - keep-alive, потому что быстрее обнаружит упавший туннель.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Можно в авто. Тогда каждый из DFL будет пинговать первый IP в удаленной подсети. Если у вас lan_ip на каждом из DFL является первым адресом (например, на DFL-210 подсеть в LAN=192.168.0.0/24, lan_ip=192.168.0.1. А на DFL-800 подсеть в LAN=192.168.10.0/24, lan_ip=192.168.10.1), тогда авто режим сработает. Если адреса у DFL не первые по порядку, тогда ручками в разделе keep-alive в настройках туннеля. Keep-alive source IP=lan_ip, Keep-alive destination IP=адрес lan_ip удаленного DFL.

И включать эту функцию на том, кто является инициатором соединения. Т.е. на DFL-800, потому что у него два канала.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Почему-то из списка (когда задаешь ручками-крючками) не удается выбрать удаленный LAN_IP, он там просто не высвечивается, хотя в адресной книге я его прописывал аж 2 раза..

Тоесть Keep-alive включать только на ДФЛ с 2-мя каналами, на втором не нужно?

Да, только на нем. Ведь именно он точно знает, какой канал у него активен в данный момент, а какой упал.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Все заработало но только с режимом авто..

не подскажите почему в ручном режиме нет возможности выбрать адрес удаленной подсети из выпадающего списка, при этом в адресной книге все задано?
нужно ли прописывать все удаленные сети, если их там несколько вланов?
и почему когда тунель настроен только с одним провайдером (без резервирования) все работает без функции Keep-alive?

>не подскажите почему в ручном режиме нет возможности выбрать адрес удаленной подсети из выпадающего списка, при этом в адресной книге все задано?
Выбираются любые адреса, включая совсем не подходящие.
Покажите скриншот

>нужно ли прописывать все удаленные сети, если их там несколько вланов?
Да, без указания сети в ACL трафик не пойдет
Можно объединить по маске

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Потому что скорее всего в адресной книге указали подсеть, а не конкретный IP-адрес. В этом списке только одиночные адреса возможны для выбора. Я у себя проверил - любой одиночный доступен, подсеть - нет.

Удаленные сети все находятся за одним туннелем? Тогда нет смысла. Если туннель живой, то будет доступно все, что за туннелем на удаленной стороне. А если что-то станет недоступным, то разбираться на том участке.

А почему оно должно НЕ работать? Тут правильнее было бы спросить, почему оно падает при двух провайдерах. А это вопрос емкий, чтобы конкретно ответить без тестов и анализа трафика и логов в такой ситуации. Но чтобы туннель держался, используют функцию поддержания.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)