С некоторых пор перестал устанавливаться IPSec VPN между DFL-800 и DFL-860E. В логе на DFL-800 пишет "timeout", IKE SA висит с типом шифрования unknown, на DFL-860E вообще тишина и нет IKE SA. Тщательно проверил все настройки, ничего дурного не нашел и к тому же раньше работало. Другие туннели также работают при аналогичных настройках. Все железки перезагрузил, кроме провайдерских . NAT с обеих сторон (но опять-таки, работает на других точках в таком варианте). Пинг через несущую сеть идет c обеих сторон. В чем может быть проблема? Если провайдер, то как это проверить/доказать?

Ваша проблема в "NAT с обоих сторон" - проверяйте вышестоящее (провайдерское) оборудование, чтобы на нем пропускался IKE (UDP 500), а также IPsec протоколы
Доказательством будет снятие дампов трафика командой pcapdump, подтверждающих отсутствие входящего трафика

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Обнаружились ДВЕ проблемы. Первая к DFL не относится -- действительно на ОДНОЙ СТОРОНЕ не работает проброс портов 500 и 4500.

Вторая, однако, явный глюк в DFL. C этой стороны (где DFL-860E) у меня несколько туннелей и так получилось, что не функционировал еще один. Этот не работал по уважительной причине -- на удаленной точке связь была физически повреждена. Оказалось, что когда не получается поднять один туннель, DFL даже не пробует поднимать другие! По логам было хорошо видно, что она упорно стучится на точку, где нет связи, ни разу не пытаясь обратиться к другой, где связь была. Когда устранили повреждение, сразу поднялись все туннели, несмотря на то, что NAT так и не отремонтировали.

Таким образом, IPSec VPN поднимается с любой стороны, но если туннелей несколько, и в одном проблема, остальные поднимутся, только если другая сторона позаботится. Я и раньше такое замечал, но не было возможности подробно исследовать.

Попробуйте настроить мониторинг маршрутов на туннели
При этом, сделайте на каждый туннель альтернативные таблицы маршрутизации и обрабатывайте входящие соединения из туннеля через эти таблицы при помощи PBR

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Мониторинг есть, именно он поднимает туннели (keepalive выключен). PBR с форсированием правильного возврата нужна там, где есть более одного маршрута в одну сеть, с этим также все ок. Проблема в том, что "занявшись" одним туннелем, DFL забывает про другие (по логам нет даже попыток соединения!). Обычно это маскируется двусторонней инициализацией (не одна сторона поднимет, так другая), но вот, когда NAT мешает в одну сторону -- задница . Если есть пара свободных девайсов и какая-нибудь "натилка", чтобы включить между ними, можно попробовать воспроизвести. С внутренней стороны натилки отправьте первый туннель в никуда и попробуйте поднять второй на другую DFL.

Up. Подтвердите, пожалуйста, имеется эта проблема на других DFL, или все таки это у меня что то с конфигурацией?

Дайте больше информации по настройкам, проблемы на других DFL с правильной конфигурацией не наблюдается.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

DFL-860E, прошивка 2.40.01.08.
Общее число туннелей IPSec - 5, из них 4 через по меньшей мере один NAT.
На ближнем NAT нет проброса портов.

Настройки IPsec:
Local & Remote Network: all_nets,
IKE & IPSec Algorithms: High,
Authentification: Pre-shared Key,
Local ID Type: DNS,
XAuth: Off,
Routing: всё снято,
Plaintext MTU: 1420,
IP Addresses: адрес задан явно,
IKE: Main, 2,
Perfect Forward Secrecy: None,
Security Association: Per Net,
NAT Traversal: On if supported,
Dead Peer Detection: On
Keep-alive: Disabled (вместо этого мониторинг маршрута)
Automatic Route Creation: Off.

В настоящее время все туннели работают. Еще раз обращаю внимание, что проблема обнаруживала себя при падении нескольких туннелей и невозможности поднять один по объективным причинам -- у удаленной точки остсутствовало соединение с Интернетом. С этом случае, "споткнувшись" на одном туннеле, DFL даже не делала попытки поднять другой.

Если необходима еще какая-нибудь информации, напишите какая. Всю конфигурацию выдать проблематично, она достаточно объемная. Вот, например, в таблице main - 31 маршрут и есть еще 4 альтернативных таблицы.
-------------------------------------------
Возможно, проще будет сделать тестовую конфигурацию. У меня такой возможности пока нет, т. к. нужно 3 свободных устройства. Соединяем:
[Router A]WAN ----- LAN[Router C]WAN ---- WAN[Router B]
Делаем очевидные настройки -- совместимую адресацию. Router C оставляем в покое, он просто должен делать NAT без проброса портов со стороны WAN. На А настраиваем туннели: IPSEC_1, ведущий на несуществующий адрес, и IPSEC_2 на адрес WAN Router B. На B настраиваем IPSEC_2 на адрес WAN Router C. Ожидаемое поведение: IPSEC_2 не поднимается, по логам Router A пытается поднять мертворожденный IPSEC_1. После удаления IPSEC_1 IPSEC_2 должен подняться.

Up

Up