Добрый день!
Помогите или пните в нужном направлении.
Есть DFL-1660, за ним три подсети (маршрутизируемая сеть реальных IP и две NAT) разделенные по VLAN и по портам, три IPsec канала.
Всего около сотни точек за ним (как роутеры, так и компы), траффик шейпится.
Регулярно три из всей кучи клиентов в разных подсетях теряют интернет: сначала тормоза, потом отруб полный, потом самостоятельное восстановление. Все остальные в это время работают как часы.
Лечится быстрой перезагрузкой. Клиентов тряс, втыкался с их параметрами IP своим ноутом - все тоже самое, со своими параметрами - все ок (т.е. физически с соединениями все хорошо), перетыкание в другие порты свичей не помогает. Нагрузка небольшая, там инет 100 Мбит максимум 10 берут суммарно, роутер не греется, перешит на новейшую прошивку. Куда копать уже не знаю.
Задолбало реально если честно.

максимум что могу посоветовать - настроить вывод SYSLOga на сторонний сервис , там потом логи посмотреть.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В проблемный момент, на сам DFL с этих клиентов можно зайти/попинговать?
Поддерживаю логи.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет, в этот момент роутер с клиентов не доступен.
Кусок лога с проблемного адреса (10.0.0.14)

2013-12-29
02:02:23 Info CONN
600005 nat_inet_lan1 UDP nat_inet_lan1
wan1 10.0.0.14
157.56.52.32 43900
40031 conn_close_natsat
close
conn=close connnewsrcip=195.91.139.178 connnewsrcport=13238 connnewdestip=157.56.52.32 connnewdestport=40031 origsent=62 termsent=48 conntime=131
2013-12-29
02:02:18 Info CONN
600004 nat_inet_lan1 UDP nat_inet_lan1
wan1 10.0.0.14
195.54.192.33 5530
53 conn_open_natsat

conn=open connnewsrcip=195.91.139.178 connnewsrcport=17226 connnewdestip=195.54.192.33 connnewdestport=53
2013-12-29
02:01:25 Info CONN
600004 nat_inet_lan1 UDP nat_inet_lan1
wan1 10.0.0.14
157.55.56.149 43900
40006 conn_open_natsat

conn=open connnewsrcip=195.91.139.178 connnewsrcport=33640 connnewdestip=157.55.56.149 connnewdestport=40006
2013-12-29
02:01:24 Info CONN
600005 nat_inet_lan1 UDP nat_inet_lan1
wan1 10.0.0.14
195.54.192.33 5530
53 conn_close_natsat
close
conn=close connnewsrcip=195.91.139.178 connnewsrcport=64782 connnewdestip=195.54.192.33 connnewdestport=53 origsent=58 termsent=162 conntime=131
2013-12-29
02:00:12 Info CONN
600004 nat_inet_lan1 UDP nat_inet_lan1
wan1 10.0.0.14
157.56.52.32 43900
40031 conn_open_natsat

conn=open connnewsrcip=195.91.139.178 connnewsrcport=13238 connnewdestip=157.56.52.32 connnewdestport=40031

Кусок лога из web интерфейса совершенно неинформативен т.к. за минуту там проходит пара сотен таких записей.
Настройте syslog, исключите из него CONN.

На тему пинга, надеюсь он у вас разрешен на DFL.

Касательно момента проявления проблемы, попробуйте пинг клиента с DFL.
Посмотрите в консоли (SSH) результат arp -show -ip=IP_клиента даст IP/MAC этого клиента?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

DFL-1660:/> arp -show -ip 10.0.0.14
ARP cache of iface nat_inet_lan1
Dynamic 10.0.0.14 = fc-75-16-e4-1f-57 Expire=794

syslog пока ставить некуда - система без сервера
Нашел косяк с бешенным временем жизни пакета 242000
поставил 1800... наблюдения после НГ

Это не время жизни пакета (там при всем желании в байт больше 255 не запихнешь ), а время жизни TCP-сессии. Т. к. TCP-сессия явно закрывается сторонами, то ничего страшного. А вот для UDP время меньше, так как никакой сессии в UDP фактически нет, "разговор" может закончится в любой момент, но DFL искусственно создает соединение для работы файрволла и NAT. Переполнение таблицы соединений возможно, но должно оставить след в логах.

Да, Вы правы... не то отписал.

Косяки продолжаются, когда клиент умирает в логах вообще ничего нет.
Сегодня перестроил правила шейпинга, вместо индивидуальных правил на каждого клиента собрал в группы, забив на разные сети.
Порадовало что проблемные клиенты тотчас заработали, без перезагрузки роутера.. Наблюдаю дальше... авось попал пальцем в небо

В общем проблема ушла с переписанием правил шейпинга - их стало меньше в пять раз.
Были индивидуальные на каждого клиента, стало группой клиентов по ширине полосы.
Как это объяснить я не знаю.

Примерно можно объяснить так: Была ошибка в правилах шейпинга, из-за чего нескольких несчастных клиентов временами зажимали до нуля.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Итак, продолжение истории.

Вырубание клиентов стало реже, но все равно было.
В конце концов пришлось собрать стенд из 210-го роутера и проверить правила шейпинга в действии.
Оказалось что даже группировка в трубе по IP- источнику и расширения группового канала не давала описанного действия.
Полное использование трафика с одного IP зарезало соседние IP, не так фатально как "все в одной трубе", но заметно.
Кардинальным выходом стало только создание индивидуальной трубы для каждого клиента и привязка правилом только к своей трубе. Клиенты стали полностью независимы, конечно в переделах полной ширины канала.

Так что кто хочет гарантировано резать канал на независимые кусочки - рисуйте pipe и правила для каждого IP.