Эта тема уже поднималась на данном форуме , но не совсем в том виде что происходит у нас. Попробую описать ситуацию. Есть головной офис , там стоит DFL-860E и несколько филиалов, на данный момент 4 (ожидаются еще 4) . В каждом из филиалов стоит DFL-260E. C каждым из филиалов с центральным офисом поднят IPSec туннель . В последнее время стала наблюдаться следующая проблема. То с одним , то с другим филиалом ( но не со всеми вместе, именно с одним) пропадает связь. Ping не ходит в обоих направлениях. Если я удаленно подключаюсь к DFL офиса и филиала , в разделе Status-IPSec IPsec SAs отображается запись о присутствии туннеля. Но связи нет. Если я делаю через "IPsec IKE Status" сброс IKE для данного туннеля (не важно с какой стороны) - туннель восстанавливается. Я уже сократил время "IKE Lifetime" до 4 часов в настройках туннелей - не помогает. Забыл написать - прошивка последняя 2.40.01.08 с обеих сторон. Куда рыть ???

Keep-alive - не помогает ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

NATы на пути туннеля имеются?

Keep-alive стоит . NAT-ов на пути нет. Keep-alive лучше устанавливать с обеих сторон или достаточно с одной ?

у меня стот с обеих сторон
зависаний не было за полтора года

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Лучше, конечно, с обеих. Я видел такое явление с туннелями при двух условиях: 1) NAT (режим NAT-T, UDP порт 4500), 2) не очень хорошая связь (зависание происходит, когда начинаются потери пакетов). Устранение любого из условий, по моим наблюдениям, проблему снимает. Кроме сброса SA помогает также отключение несущей сети на несколько минут. Посмотрите кстати, не используется ли у Вас NAT-T. Может там если и не NAT, то что-то такое, что чистый ESP не проходит.

Спасибо за совет ! Действительно Nat-T оказался включеным. И еще один вопрос. Из вашей практики : какие оптимальные значения в настройках туннелей IKE Lifetime и IPsec Lifetime лучше ставить ? По дефолту 28800 и 3600 ?

по дефолту ,
еще практика показывает MTU в туннеле =2000, дает прирост по скорости - на глаз даже видно

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку