Добрый день.
Есть dfl860E с локальной сетью "S". С него поднято ~20 ipsec каналов в разные стороны. На других концах каналов dfl260e или dfl210.
В один "ужасный" день с двумя каналами начались проблемы.
Канал в сеть A - подскочило время отправки до 320, между сетями A и S, через ipsec в обе стороны. Время отправки до внешнего адреса маршрутизатора A нормальный, ~70-80. Игры с MTU, ребуты, прошивки, замена оборудования на резервное с обоих сторон с прежней конфигурацией, на результат не повлияло. Нормального внутреннего времени отправки добился, только, когда сбросил dfl860, и настроил 1 канал до маршрутизатора А.
Канал в сеть В - 50-70% потерь пакетов на внешний интерфейс при буфере отправки больше 1000 байт. Причем, только в том случае, если источник отправки dfl860e. На компьютере с тем же внешним ip адресом, проблем нет.
Так же, на "сброшенном" dfl860E, настроенном на канал А и В - все работает хорошо.
Все остальные каналы, и все прочие настройки на dfl860E, работают отлично.

Сейчас у меня рабочая схема 2 dfl860E, на одном живет 2 канала в А и В, на другом все остальное. Я планирую потихоньку переносить все на "сброшенный", dfl, и ждать, в какой момент все опять начнется( или не начнется).

Что у меня за проблема? Битая конфигурация? Хотел бы услышать какие-нибудь советы, могу выслать прошивки или логи. Может сразу в ремонт везти?

Никто не будет разбираться в Вашей достаточно сложной конфигурации при столь скудной информации.
Менялась ли конфигурация, когда начались проблемы?
Если у Вас есть вторая DFL, что мешает перелить на нее сбойный конфиг -- сразу станет ясно, виновато ли оборудование.
Потери через IPSEC туннель? А по несущей сети на тот же remote endpoint потерь нет? "Больше 1000 байт" -- это сколько?

Сложно точно сказать. Проблема не очень очевидная внешне. Мы сначало на провайдеров валили. В любом случее, если были изменения в конфигурации, то они не как небыли связаны с ipsec.

Это было первое, что я сделал.

Да. и там и там потери. Если, при "пинговании" внутреннего или внешнего интерфейсов удаленного маршрутизатора В, в в свойствах команды "ping", указать размер буфера 1000 байт или больше - 50-70% потерь.

И какой результат?

Потери только на проблемный удаленный узел? А на другие узлы, адреса в Интернет (если межофисный линк связан с Интернетом)?
Подключите к wan любое устройство или компьютер локально, задайте подходящую адресацию для имитации удаленного офиса -- потери есть?
И про "больше 1000 байт" я не зря спрашивал. Бывают проблемы с MTU, но они проявляются обычно при пакетах больше ~1400 байт, а не 1000.

Все так же плохо.

Например, все остальные каналы работают отлично.

А что с загрузкой ЦП DFL на момент проблем?
При потерях до удаленного DFL через интернет, шлюз этого DFL пингуется ровно?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

не понимается выше 40.

шлюз пингуется без потерь.
вот картинку сделал:

Справа я пингую внешний интерфейс удаленного длинка, через свой основной dfl860e, а слева я пингую внутренний интерфейс того же длинка, через канал, поднятый резервным dfl860e.
Шлюзы у wan на обоих dfl860e одинаковые.

Взял ещё 1 длинк, высунул его наружу и поднял канал со старым длинком, через ipsec " теряющий пакеты" - из настроек поменял только удаленную точку. Потерь нет.

Может проблема у удаленном dfl210? получается если с одной из сторон, есть свежесброшенная железка, все нормально работает.
Попробую удаленный длинк заменить...

Проблема вполне может быть и у провайдера.
И я так и не понял насчет несущей сети: несколькими постами выше Вы утверждали, что там тоже потери,
а затем показали "чистый" пинг.

Вот нарисовал картинку, надеюсь так будет понятнее.


Стрелки это ipsec каналы:
* Серая стрелка от dfl860e main до Dfl210\260e Net X+n - ~20 стабильно работающих ipsec каналов.
* Черный пунктир от dfl860e main до Dfl210 Net А - большое время отклика между сетями A и С (~300мс). Внешние итерфейсы время отклика ~70. Поменяли dfl210 на новую 260e - проблема осталась.
* Зеленый пунктир от dfl860e main до Dfl210 Net B - потеря пакетов (50-70%) между внутренними и внешними интерфейсами, при буфере =1000байт. Шлюзы пингуются стабильно.
* Черная стрелка от dfl860e backup до Dfl210 Net А - стабильный канал.
* Зеленая стрелка от dfl860e backup до Dfl210 Net А - стабильный канал.
* Черный плотный пунктир от dfl860e main до Dfl260e Net B - модуляция канала от dfl860e main до Dfl210 Net B. В конфе dfl860e main менялась только "конечная точка" ipsec. - стабильный канал.

Все "правые" маршрутизаторы выходя в интернет через один и тот же шлюз.
На dfl860e backup из настроек, только настройки 2 ipsec.
"Пунктирные" каналы сейчас отключены.
Конфигурация с "main" на "backup" переносилась - полож. результата нет.

Рисунок так и не прояснил, имеется ли проблема на несущей сети (внешние адреса, без IPSEC). Если да, то зачем Вы впутываете сюда туннели, забудьте про них, пока не разберетесь, откуда потери. Прочитал внимательнее Ваши пояснения к скринам плохого и хорошего пингов, так и не понял, откуда и куда пинговалось.

Сеть с потерями больших пакетов "починилась". Перевел все назад, все хорошо работает.
Что было, скорее всего, у провайдера, непонятно. Какая-то непереносимость конкретного внешнего ip адреса, или какие-то маршруты особые...
Вечером попробую вторую сеть перевести...

Подключите к wan любое устройство или компьютер локально, задайте подходящую адресацию для имитации удаленного офиса потери есть?

_________________
http://www.historiccoventry.co.uk/leather-jacket/leather-motorcycle-jackets/harley-davidson-jacket.html

Проверить дело в провайдере или нет довольно легко, на удаленном хосте, захватите ESP трафик и посмотрите на поле sequnce number, если они приходят не по порядку, то где то между вашими офисами проблема с QoS, дело в том, что если пришли пакеты с sequnce number 333 335 и только потом пришел 334 то последний пакет считается потерянным, хотя он и дошел (rfc).

Следовательно, где то по пути, меняется приоритет у протокола ESP на низкий и попадая в узкое место, пакеты начинают "выпадать", либо задерживаться, отсюда и эффект, что весь трафик ходит а вот тот который энкапсулирован в ESP теряется Если все так, то к сожалению это вылечить невозможно.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

История закончилась хорошо.
Дня 4 назад, на резервном оборудовании тоже начались проблемы, у же на внешний интерфейс - периодически увеличение время отклика и потери. На 1000 пингов -2% потерь и среднее время 230(мин 68\макс 1680).
Потрясли провайдера, теперь на старом основном оборудовании все отлично.
Всем спасибо за советы и помощь.