Вопрос довольно экзотический, почти не надеюсь что кто то сталкивался. Но всякое бывает.

Есть кластер на CheckPointe - два одинаковых сервака работают в режиме HighAvailability, все тянет на себе один, если он падает то все коннекты подхватывает второй. И все проходит замечательно кроме одного - vpn соединение с DFL-900 при переключении через некоторое время обрывается. Видимо DLink начинает обмен ключами и замечает подмену сервера. Скорее всего дело в настройках длинка или его особенностях, check point со всеми другими железками vpn сохраняет без проблем. Подскажите как это исправить?? Или в чем тут может быть дело?

А что 900ый в логи пишет при обрыве?

_________________
С уважением -- Александр Шебаронин.

такой вот лог. за время логирования сделал переключение кластера с одного сервера на другой и обратно. соединение пропало, пришлось восстанавливать принудительно, убивать на чекпойнте впн соединение и ждать пока создастся заново. 210.0.0.1 это чекпойнт, 183.0.0.2 это длинк

1 2005-10-17 13:52:48 INFO responde new phase 2 negotiation
2 2005-10-17 13:52:48 INFO Begin Identity Protection mode.
3 2005-10-17 13:52:48 INFO ISAKMP-SA established 183.0.0.2:500-210.0.0.1:500
4 2005-10-17 13:52:48 INFO responde new phase 2 negotiation
5 2005-10-17 13:52:48 INFO ESP/Tunnel 210.0.0.1->183.0.0.2 258621929(0xf6a41e9)
6 2005-10-17 13:52:48 INFO ESP/Tunnel 183.0.0.2->210.0.0.1 2999913503(0xb2cf0c1f)
7 2005-10-17 13:52:50 INFO purged IPsec-SA Proto_id=ESP 1392762012.
8 2005-10-17 13:52:52 INFO purged IPsec-SA Proto_id=ESP 3264627476.
9 2005-10-17 13:53:56 INFO purged IPsec-SA Proto_id=ESP 2999913503.
10 2005-10-17 13:53:56 INFO responde new phase 2 negotiation
11 2005-10-17 13:53:56 ERROR delete payload with invalid doi:0.
12 2005-10-17 13:54:26 ERROR 210.0.0.1 give up to get IPsec-SA due to time up to wait.
13 2005-10-17 13:54:26 INFO responde new phase 2 negotiation
14 2005-10-17 13:54:26 INFO responde new phase 2 negotiation
15 2005-10-17 13:54:26 INFO Begin Identity Protection mode.
16 2005-10-17 13:54:26 INFO ISAKMP-SA established 183.0.0.2:500-210.0.0.1:500
17 2005-10-17 13:54:26 ERROR delete payload with invalid doi:0.
18 2005-10-17 13:54:56 ERROR 210.0.0.1 give up to get IPsec-SA due to time up to wait.
19 2005-10-17 13:54:57 INFO responde new phase 2 negotiation
20 2005-10-17 13:54:57 INFO Begin Identity Protection mode.
21 2005-10-17 13:54:57 INFO ISAKMP-SA established 183.0.0.2:500-210.0.0.1:500
22 2005-10-17 13:54:57 INFO responde new phase 2 negotiation
23 2005-10-17 13:54:57 INFO ESP/Tunnel 210.0.0.1->183.0.0.2 37532949(0x23cb515)
24 2005-10-17 13:54:57 INFO ESP/Tunnel 183.0.0.2->210.0.0.1 3311713185(0xc564bba1)
25 2005-10-17 13:55:14 INFO responde new phase 2 negotiation
26 2005-10-17 13:55:14 INFO ESP/Tunnel 210.0.0.1->183.0.0.2 120392010(0x72d094a)
27 2005-10-17 13:55:14 INFO ESP/Tunnel 183.0.0.2->210.0.0.1 101155528(0x60782c8)

Очень похоже что чекпоинт при переключении серверов не все поднимает так же, как было до переключения. Вот тут:
11 2005-10-17 13:53:56 ERROR delete payload with invalid doi:0.
устройство приняло пакет не относящийся по его понятиям ни к одному из соединений. Поэтому началась переустановка соединения.

_________________
С уважением -- Александр Шебаронин.

И что тут можно сделать? как избавиться от этой ошибки?
и кто виноват - длинк или чекпойнт? дело в настройках или в железе?

Почему начавшаяся переустановка соединения завершилась неудачно?

вот что пишет checkpoint в своих логах при этом.
видимо при смене SA они перестают понимать друг друга.
D-Link 900 способен вообще автоматически заменять данные SA по запросу CheckPoint?

CP->DLink: IKE: Quick Mode completion IKE IDs: subnet: 192.168.0.0 (mask= 255.255.255.0) and subnet: 172.16.0.0 (mask= 255.255.0.0)
CP->DLink: IKE: Informational Exchange Send Delete IPSEC-SA to Peer: d580c0de SPI: d197e742
CP->DLink: IKE: Informational Exchange Send Delete IPSEC-SA to Peer: d580c0de SPI: 18abdaae
DLink->CP: encryption fail reason: Packet is dropped because an IPsec SA associated with the SPI on the received IPsec packet could not be found
DLink->CP: encryption failure: Already issued request for this SPI
CP->DLink: IKE: Main Mode completion.

все таки хотелось бы услышать мнение уважаемой техподдержки по этому вопросу. На мой взгляд ситуация довольно простая:
checkpoint время от времени начинает обмен ключами и предлагает dfl-900 удалить прежние SA, а длинк это не может сделать. Это нормальная ситуация для DFL-900? можно ли исправить эту ошибку? когда выйдет новое фирмваре для DFL-900 и будет ли в нем исправлен этот баг?

привожу еще логи демонстрирующие ситуацию:
переустановка соединения со стороны Checkpoint-a
логи dlink-a:
250 2005-10-28 13:23:14 INFO responde new phase 2 negotiation
251 2005-10-28 13:23:14 INFO Begin Identity Protection mode.
252 2005-10-28 13:23:14 INFO ISAKMP-SA established 183.0.0.2:500-210.0.0.1:500
253 2005-10-28 13:23:14 INFO responde new phase 2 negotiation
254 2005-10-28 13:23:15 INFO ESP/Tunnel 210.0.0.1->183.0.0.2 27754087(0x1a77e67)
255 2005-10-28 13:23:15 INFO ESP/Tunnel 183.0.0.2->210.0.0.1 2215366851(0x840bd0c3)
256 2005-10-28 13:23:15 INFO purged IPsec-SA Proto_id=ESP 204069673.
- последняя строка говорит о том что длинк принял запрос СР на удаление SA
логи Checpoint-a:
IKE: Main Mode completion.
IKE: Quick Mode completion
IKE: Informational Exchange Send Delete IPSEC-SA to Peer: d580c0de SPI: c29db29
- это запрос чекпоинта на удаление SA; если обратите внимание, 204069673 (длинк) = c29db29 (чекпоинт)
Information: encryption fail reason: Packet is dropped because an IPsec SA associated with the SPI on the received IPsec packet could not be found
- а это ответ, приходящий от длинка. Который говорит о том что он не смог таки удалить SA. При нормальном исходе ответ должен звучать так:
IKE: Informational Exchange Received Delete IPSEC-SA from Peer: d580c0de SPIs: c29db29

Если переустановить сессии со стороны длинка то все естественно проходит нормально.
переустановка соединения со стороны DFL-900
логи длинка:
254 2005-10-28 13:29:05 INFO responde new phase 2 negotiation
255 2005-10-28 13:29:05 INFO ESP/Tunnel 210.0.0.1->183.0.0.2 21843173(0x14d4ce5)
256 2005-10-28 13:29:05 INFO ESP/Tunnel 183.0.0.2->210.0.0.1 3139469505(0xbb2080c1)
логи чекпоинта:
IKE: Informational Exchange Received Delete IPSEC-SA from Peer: d580c0de SPIs: 01a77e67
IKE: Quick Mode completion




От ошибки ERROR delete payload with invalid doi:0.
я избавился, подкорректировав правила файрвола dlink-a, ее больше нет.

По результатам телефонного разговора с вами -- ждем информации от спеца из чекпоинт, как я говорил у меня чекпоинта, тем паче в кластерной конфигурации, нет...

_________________
С уважением -- Александр Шебаронин.

Check Point толком ничего не ответил - рекомендует использовать для организации vpn разрабатываемые им устройства. Местная техподдержка CheckPointa предлагает ждать обновления фирмваре для DFL-900, а также предлагает написать скрипт, который бы в момент переключения кластера принудительно удалял SA из таблицы соединений чекпойнта. Есть ли какая-то информация, когда выходит следующее фирмваре для DFL-900? Проблему оно также возможно не решит. Да и скрипт это не решение проблемы.
...
Не могли бы Вы подъехать и посмотреть ситуацию на месте?

С уважением, Иголкин Павел