Как изменение firmware в DFL-800 может влиять на IPSec. Возможно ли такое.

И так в работе давно, т.е. лет 7 если не больше DFL-800( 2.26.00.06-12649).
Работает на ура. Коннектиться с любыми устройство по IPSec - CISCO, Jupiter ....D-Link, FreeBSD. Был всегда удивлён, что народ возмущается о проблемах возникающих у многих при настройке IPSec. И вот оно и меня накрыло.
Надо сменить прошивку и довести до 2.27.... та которая WW.
Проходит смена успешно - но ВСЕ Ipsec что работаю на устройства не компании D-Link - тут же отлетают. Т.е. не поднимаются каналы на IPSec.

Что может быть?

Задача - сменить железку на более новую и более мощную. Но сначала надо довести версию до 2.27 и как жить при таком раскладе?
Правил и настроек на железке не просто много а очень много - пытаться переносить руками куда-то - не факт, что и там будет работать, если обновление с 2.26 на 2.27 внутри одно коробки не работает. Кто решал проблему.....

Достаточно странно.

Прошивку точно WW на WW меняли?

укажите точную версию новой.

А пока бы я просто откатился на то, что стояло и работало.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Для DFL-800 максимальная версия прошивки - 2.27.03.25. Её и беру.

А для DFL-1660 минимальная - 2.27.03.25. С чего и стартую.

Что делал
1. Довёл на 800 до 2.27.03.25
2. Далее создаю и выгружаю config
3. Загружаю полученный config на 1660
4. Корректирую то чего не верно по мнению DFL-1660
5. Записываю и рестартую.
6. Не работает.
7. Пробую обновленую версию прошивки на DFL-800 и то же не работает.
8. Откатываюсь на 2.26 в DFL-800
9. DFL-800 начинает работать как и полагается по настройкам.
10. Ищу в инете решение - пусто.
11. Чешу репу и пробую задать вопрос на форуме, может что-то было такое же и было решение. Надеюсь, что заметит пост и поможет тех.поддержка.

P.S. Беру - точно версию WW, т.к. нужно шифрование 3DES/192 - чего нет в русской!!!

Я бы на DFL-800 накатил 2.27.08.03 WW

на 1660 - 2.40.04.08 WW

Разумеется, имея бекапы, что, видимо, и так есть.

Зачем на них делать одинаковые версии прошивки?

Это, видимо, в текстовом виде? Через CLI

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В описание по переносу конфигурации сказано что необходимо иметь одинаковые версии прошивок.

Пробовал довести на 1660 до 2.3.х и 2.4.х - не работает IPSec. Что-то не то. Если и на DFL-800 версия 2.27 не работает в том объёме что на 2.26 - надо ещё какие-то пассы делать. Я в ауте. Если DFL-800 даст дуба, будет полный алес.

а с нуля на новой прошивке ?!
просто попробовать туннели !?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

предположим, у вас все работает на 2.26 на DFL-800

Вы утверждаете, что на нем после обновления на 2.27.08.03 не поднимаются все IPsec туннели?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Нет не пробовал с нуля. Мне даже в страшном сне не могло прийти что при обновлении firmware - могут вылезать такие грабли. Этакое улучшении на оборот.

Слишком много наворотов. За время жизни устройство всегда при постановке задачи добавляли что-то новое в функционал.
Озадачивает, что перестаёт работать IPSec ТОЛЬКО с устройствами отличных от D-Link. Если в филиале стоит DFL-700/800/860/DI-804 - IPSec поднимается. А на некоторые организации где оорудование CISCO или что-то другое - не поднимается канал на IPSec,

Попробуйте просто пересоздать туннель с нуля, те которые не поднимаются . Да и посмотрите в логах что на момент не поднятия . Если логи забиваются сливайте на сислог его . Но очень похоже на разьехавшееся шифрование . Посмотрите в этом направлении .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку