День добрый.

Имеется сетевой экран DFL-2560, версия прошивки 2.40.05.08-24181 TP (тестовая прошивка)

Ситуацию с проблемой описывать целиком не стану, дабы не загружать лишней информацией, так как проблема имеет место уже более года и за это время Dlink высылал тестовые прошивки, которые частично улучшили положение, но до конца проблема так и не решена. Согласно информации от разработчиков, в этих тестовых прошивках была оптимизирована обработка Ipsec интерфейсов.
В общем, суть в том, что периодически (от раза в час до нескольких раз в 10 минут) подвисают ОДНОВРЕМЕННО все IpSec тоннели примерно на 1-2 сек.

Поскольку в новых прошивках оптимизировали обработку IpSec, может у меня просто некорректная настройка тоннелей, что и является причиной неоптимальной их обработки? Во всех тоннелях используется один ключ PSK, поэтому я объединял их подсети и адреса в группы и делал один IpSec интерфейс, но больше 50-ти внешних хостов тоннель не устанавливало.
В мануале никаких принципиальных указаний для большого количества тоннелей не указано, да и к тому же максимальное их число для этой модели - 5000, что далеко от 268, да и к тому же DFL-2560 всё-таки не из сегмента домашних роутеров.
Может быть всё-таки есть какие-то особенные ньюансы с этими тоннелями?

Настройки тоннелей прилагаются в скриншотах. В обеих фазах используется 3DES для шифрования и MD5 для алгоритма аутентификации.
На удалённых точках используются в основном 2 модели Dlink DI-804HV и Dlink DFL-260E, каждая из которых имеет свой белый IP, который и указан в настройках Ipsec тоннеля как wanip_ИМЯ_ТОЧКИ

Заранее спасибо))

Сразу бросилось в глаза MTU=1420
Поставьте MTU=2000. Так должно быть пошустрее и понадежнее.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Завтра попробую - отпишусь. Спасибо за совет.

В общем поставил на всех тоннелях MTU=2000. Я правильно понял, вы имели ввиду именно MTU для IPsec, а не для wan?

Во всяком случае за 3 часа тестирования на внешнем интерфейсе wan1 уменьшились потери пакетов, еще конечно не вечер, но ранее периодически они сыпались в гораздо больших объемах.

Тем не менее сами пропадания удалённых хостов остались, но за выходные еще попробую с параметрами поиграться в этом направлении. Просто ни в мануале, ни в статьях ни разу не видел, что mtu тоннеля можно устанавливать больше mtu внешнего интерфейса.

На всякий случай выкладываю еще настройки Advanced TCP settings.

Да, речь именно про IPSec. На другой стороне тоннеля на роутере также поставить 2000.
2000 - эта цифра была подобрана экспериментальным путем на форуме.
Какое-то обоснование подвести под эту цифру не могу, но реально работает, на практике проверено.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Потестировал на выходных, но увы - результат тот же.
И еще у меня возник вопрос - нужно ли было устанавливать такой же MTU и на удалённых хостах или это не принципиально? Я менять пока не стал там, так как на большом количестве DI-804HV он в принципе не меняется для IPSEC, а отдельно на DFLках менять - сомнительно.

В итоге после установки MTU=2000 принципиально ничего не поменялось.
Дополнительно провёл инспекцию всех удаленных точек на предмет некорректных настроек. А также на днях из Длинка прислали прошивку, пока поставил ее - потерь меньше стало, посмотрю в динамике в течение нескольких дней.

Но вот что меня смутило! За 2 дня теста для wan1 потерь пакетов (параметр In : Packets Missed) было 8. После изменения у двух интерфейсов Ipsec параметра NAT Traversal=off (есть несколько удалённых адресов, у которых за NAT стоят по 2 устройства с тоннелем) и применения настроек на DFL поползли потери - за несколько часов выросли до ~500 пакетов.

Может я не так понимаю назначение опции NAT Traversal? Я так понимаю в ней есть смысл, когда удалённая точка не имеет статичного внешнего адреса и находится за NAT своего провайдера, либо белый адрес есть, но за NAT там находятся 2 и более точек. Правильно ли я понял?

Заранее спасибо.

да вроде правильно. и то, что натит ещё должно ipsecpassthroug уметь.

_________________
понял настроил забыл

По-моему, ошибки на интерфейсе зависят от взаимодействия DFL с внешней средой и интенсивности трафика. Я лично не усматриваю какой-либо связи между ними и параметрами IPsec.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

настроить syslog на ipsec события и на дропы по сетям ipsec, мож че выплывет

Если вернуться к этим истокам, то проблема системная и связана с устройством. Аппаратная или софтовая (настроечная).

1. Есть что-то в логах на моменты падения каналов?
2. Было бы неплохо перевести 5-10 из этих каналов на DFL-260E/860E чисто для проверки.
3. Ширина инет канала какая?
4. Может подвисают не IPsec, а интернет канал?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за информацию, да во всех случаях устройство с натом это DI-804HV, там есть такая опция и она включена.

Проблема скорее софтовая, так как в своё время брали на тест вторую такую же железяку и на ней наблюдалось то же самое.

1. На данный момент работаем на версии technical preview и ранее, когда писал логи, она, в том числе, выводила в логи с консоли доп информацию в моменты возникновения проблемы. Их отсылал в техподдержку, а в самих обычных логах ничего интересного не нашёл, так как железка просто молча подвисала в такие момнеты и ничего соответственно не писала на логсервер.
2. Изначально до покупки 2560 полтора года назад все тоннели (примерно 180) крутились на DFL-800 и работали стабильно на том же провайдере.
3. 30 МБит/с
4. Именно DFL, так как в самые "тяжёлые времена" в моменты пропадания не только Ipsec, но и он сам не пинговался в течение 1-2 секунды даже по локалке.

В принципе особого напряга в работе теперь нет, после последней прошивки из техподдержки пропадания отсутствуют вообще, по крайней мере ощутимые. Просто хотел разобраться не напутал ли принципиально в настройках тоннелей))

Это практически исключено,т.к.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Всем спасибо за ответы, проблема с помощью последней прошивки решена на 95%, а с оставшимися 5 % работать можно)

И вот тут еще такой вопрос по поводу тоннелей.
Как будет правильнее создавать интерфейсы Ipsec: а) по принципу 1 точка - 1 интерфейс или б) 1 интерфейс - пул удалённых адресов? Пробовал оба варианта, хотя второй вариант менее удобен в плане администрирования и мониторинга в дальнейшем. Может у кого-то есть иной подход?

Заранее благодарю.