Есть несколько разных DFL между которыми настроенны IPSec туннели. Так вот на одном из них (dfl-860e) происходит странное явление, где-то раз-два в день, бывает и реже. Ситуация следующая, сначала на короткое время пропадает и-нет, пара минут, (возможно проблемы у провайдера, точно не знаю), затем все восстанавливается, инет появляется, тоннели востанавливаются, но один из тоннелей начинает работать только в одну сторону, тоесть со стороны другого DFL сеть видна а наоборот нет, как будто правила разрешающего нет, при этом сам тоннель актвен. Лечится подобный глюк только перезагрузкой девайса, при этом "Quick restart" не помогает, нужно делать Full restart, чтобы все заработало. Странное конечно явление, может кто встречался с подобным, а то каждый день заходить удаленно и перезагружать устройство как-то не очень удобно.

Смотрите что в логах на этот счет
SA не двоятся? Проверьте с обоих сторон
Мониторинг маршрутов на туннели у вас настроен?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Добрый день. Я не совсем продвинут в данных вопросах, поэтому подскажите пожалуйста по точнее:

Что такое SA, где это настраивается и как должны выглядеть правильные параметры?

Мониторинг маршрутов, где должен настраиваться, если в разделе Route, то там у меня маршруты на туннели созданы в автоматическом режиме и соответственно вкладка "мониторинг" недоступна.

Status > IPsec > List all SAs
На один туннель (удаленный адрес) должен быть только один

Логи смотрите в Status > Logging или сохраняйте в файл по syslog

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Действительно, при просмотре Status > IPsec > List all SAs, выяснилось что туннели при зависании начинают двоиться (на другом конце 2 провайдера), но остальные работают нормально и не задваиваются. в чем может быть проблема, как это можно решить?



Другие туннели например у меня выглядят так, и они не виснут:

Выключите keep alive и включите DPD в параметрах туннелей

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

keep alive - в режиме auto у меня стоит по одной стороне с каждого туннеля, если отключаю совсем, то бывают случаи когда туннель пропадает из-за неактивности.

DPD это имелось ввиду - Dead Peer Detection, если да, то эта галка стоит на каждом IPSec туннеле.

Keep alive (просто пинг в туннель) логически выключает DPD, даже если он остается включенным.
В вашем случае нужен именно DPD чтобы предотвратить двоения SA.
Keep alive выключите. Его можно сэмулировать, добавив в таблицу маршрутизации main маршрут на удаленную сеть с мониторингом пингом удаленного DFL. Метрику можно поставить высокую, чтобы маршрут даже никогда не работал сам, например 200.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc