Проблема с DFL-210 (прошивка 2.27.06.10-19065 - Oct 1 2012)
Есть головной офис и удалённые филиалы, которые подключаются по IPsec к головному офису. В головном офисе на DFL-800 настроил динамический IPsec.
Обновил первую DFL-210 до последней прошивки, настроил интернет, lan, поднял IPsec с головным офисом. Работало всё стабильно.
После чего обновил прошивку на второй DFL-210, сделал Backup рабочей конфигурации первой DFL-210 и залил его на вторую. На второй DFL-210 изменил настройки интернета и локальную подсеть. Вторая DFL-210 подняла без проблем IPsec с головным офисом.
Через пару дней заметил проблему, что когда одна DFL-210 поднимает IPsec с головным офисом, то на второй IPsec пропадает. И наоборот.
Обе железки поднимают IPsec с головным офисом поочерёдно с разным интервалом, но не более пяти минут. При этом интернет на обеих DFL-210 работает постоянно.
На динамическом IPsec также работают 10 доп. офисов без проблем. Но в тех DFL-210 все настройки вбивал вручную и прошивки пока старые.

Может ли в Backup'е храниться какой-то идентификатор железки?
В чём может быть связь поочерёдной работы IPsec на двух DFL-210?

Сделайте разные PSK/сертификаты, смотря чем авторизуете.
Адреса на DFL у вас статические или динамические?
Сети (lannet) за DFL-210 разные?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Авторизация проходит с использованием ключа шифрования (Pre-Shared Key). Он для всех филиалов одинаковый. И с десяток филиалов поднимают IPsec по этому ключу шифрования без проблем.
Адреса DFL-210 в филиалах и в головном офисе статические.
В головном офисе настроен динамический IPsec, т.е. при верном ключе шифрования поднимается IPsec с любым IP.
Подсети lannet во всех филиалах разные. В частности в этих проблемных филиалах - 192.168.77.0/24 и 192.168.17.0/24.
Отличие от других филиалов в том, что настройки на других DFL-210 вбиты ручками, а в этих - с одной DFL-210 залит BackUp в другую DFL-210. После чего изменены WIP, WAN,GATE,LAN IP,LANNET.

Разведите филиалы по разным туннелям - настройте в филиалах DynDNS и используйте его в качестве endpoint

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Если везде статика, зачем использовать DynDNS? Причём некоторые жалуются на то, что бывают с ним проблемы.
Все другие филиалы ходят по одному IPsec-туннелю без проблем. Проблема лишь в двух DFL-210, в которых один BackUp залит с другого DFL-210.

Задача - создать универсальные настройки, чтобы можно было при выходе из строя DFL-210, передать им уже 100% настроенную.
Либо за пару минут

Либо за пару минут настроить на месте восстановлением из резервоной копии.

Если везде статика, зачем вам динамический IPsec? Делайте статические каналы.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

1. для того, чтобы был универсальный BackUp;
2. т.к. Ростелеком очень редко, но бывает меняет IP без ведома, и на выяснение и изменение настроек уходит время;
3. в дальнейшем будут подключаться новые филиалы, в том числе и по 3G.

В общем нужно решить эту проблему, а не пытаться её обойти.

Что я могу сказать, раз вам надо, вы и делайте.
Чтобы проверить вашу ситуацию с достаточно экзотической конфигурацией, надо строить стенд, на что нужно как минимум время.
На мой взгляд, правда все-таки в простоте, а не супер-универсальности "на будущее".

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это из области - если нечего дельного посоветовать, то лучше и не писать..

Экзотики в конфигурации никакой нет. И вопсро был: Может ли в Backup'е храниться какой-то идентификатор железки?
Задачи нужно решать, а не уходить от них. Рано или поздно они всё равно вернуться и решить их будет уже необходимо в короткие сроки..