Имеем парк dfl файрволов 800, 260е, 860е в несколько десятков штук
На паре устройств dfl 860e возникла недавно следующая проблема
При сохранении любых изменений ping на внешний интерфейс возрастает c 18...20 мс до 1000...2000 мс. При этом второй провайдер работает штатно!
Ребут помогает восстановить нормальную работу до следующего сохранения настроек.
Одна железка абсолютно новая из коробки наработка 6 суток. Другая годовалая.
Интернет в обоих случая выдается 4 адресной сетью. Прошивки последние WW: Firmware Version: 2.40.03.08-20375
Mar 11 2013
В каком направлении рыть? Заранее спасибо за ответ.

Любопытно. ... И совершенно непонятно

Попробуйте чуть свежее прошивку 2.40.04.08 WW

для эксперимента можно и 2.60 проверить

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Прошили 2.60.
Пока вроде полет нормальный.
Понаблюдаем и попробуем вторую DFL с таким же дефектом реанимировать этой же прошивкой

Ситуация не исправилась. Тема актуальна, прошивка на данный момент 2.60. При сохранении изменений конфигурации пинг на одном интерфейсе внешнем подлетает до 2 мс и сохраняется до перезагрузки!

Одно из устройств стало ронять пинг до 2000 мс и без изменений конфигурации - просто в процессе работы

можно попробовать:
1. Воткнуть в проблемный канал промежуточный неуправляемый коммутатор.
2. Выяснить на каких чипах исполнены все интерфейсы DFL и попробовать поднять вместо проблемного интерфейса другой - на другом чипе. Например, поменять интерфейсы WAN1 и WAN2 местами, если WAN1 и WAN2 на разных чипах; или проблемный заменить на один из LAN портов по VLAN, если WAN и LAN на разных чипах. Или использовать порт DMZ в тех же целях.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что было предпринято на данный момент
На первой проблемной точке
1. Обновлена прошивка на 2.60.02.02 - не помогло
2. Обновлена прошивка на 2.40.04.08 - не помогло
3. Установлен промежуточный неуправляемый свитч между оборудованием провайдера и проблемной DFL860e - не помогло
4. Перенесен провайдер с порта wan1 на dmz - не помогло
На второй проблемной точке
Проблема стала проявляться не только после реконфигурации, но и в обычном режиме работы. Не всегда восстанавливается после ребута - начинает расти пинг до 2 секунд или на первом или на втором провайдере. Было решено
1. Замененить проблемный DFL860e на запасной с переносом конфига и установкой прошивки 2.40.04.08 - не помогло

На обоих устройствах используются GRE и IPSEC тоннели. Алиасы, правила PBR, мониторинг провайдеров по пингу, PPTP сервера на обоих провайдерах. Такой же набор на других точках, но там проблема не наблюдалась никогда.

Заранее спасибо за ответы и советы!

попробуйте один из проблемных сбросить на дефолт , и настроить минимум .
может где кривизна в настройках , такое бывает .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Этого сделать я не могу - служба круглосуточная и простой даже в 10 минут чреват последствиями...
Есть подозрения на неадекватность работы мониторинга провайдеров. Попробую отключить мониторинг

ну у вас же есть запасной . настройте минимум и попробуйте ночью , думаю 10 минут вам выделят .
если такое не попробовать , получится тыканье пальцем в небо .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Столкнулся с такой же проблемой DFL-860E на FW v10.21.02.01.
Сбросил в заводские и минимальная конфигурация -- проблем нет. Прошил до v2.60.02.02 -- проблема.

При чём есть две различных физических сети с /16 маской и проблема на любом из двух wan, но только в одной сети. В такой сети сейчас успешно работает DFL-800, а DFL-860E взят под замену, но на этапе настройки обнаружилась проблема «возрастания пингов», хотя CPU не нагружен. Точно помогает физическое отключение патч-корда.
Дополнительный "тупой свитч" в разрыв не помогло.

Есть 4-ре железки DFL-860E
1. одна в бою, на v2.60.02.02 – проблем не имеет, но и инфраструктура совсем другая (боюсь обновляться до v10.21.02.01, чтобы не схлопотать такие проблемы на боевой железке)
2. одна «слегка поюзанная» сейчас настраивается и на ней выявлена указанная проблема
3. есть ещё две абсолютно новые, попробую на одной из них проверить воспроизводится ли проблема на разных устройствах, но коль я не один, значит проблема массовая. //взял новую железку и проблема повторилась, пока не разобрался с какой версии прошивки это всё начилось.

Если кто может предположить в чём проблема или предложить варианты пишите.

Спасибо!

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Проблема сохраняется до сих пор. Выключение патчкорда помогает - подтверждаю. Замена оборудования и переброс провайдеров на другие интерфейсы проблему не решают - явно не железо. Прошивки пробовал разные - не помогает. До этого в одной из сетей стояла DFL 800 на ней проблемы не было. После перехода на 860е с переносом конфига - проявляется. На одной 860е проявляется не только после пересохранения конфига но и в работе без всяких причин. Может работать неделю-другую и валица по пингу непредсказуемо один из провайдеров.

Что настроено на оборудовании
1. Два провайдера подсеткой
2. Алиасы под ППТП сервер и некоторые IPSec тонели
3. ППТП сервер на каждом провайдере
4. IPSec и GRE тонели
5. Переключение на резервного провайдера
6. NAT наружу
7. Пробросы портов
8. Правила PBR для провайдеров и тонелей

Все железки мне подконтрольные работают по одной схеме с небольшими ньюансами (их более 30 штук). Проблема на данный момент проявилась на 3 из них. В одной точке уже решили ставить линукс шлюз.
Может саппорт даст хотя бы наводку в какое место рыть?

Проверить в минимальной конфигурации не представляется возможным в силу того что служба круглосуточная и находится от меня на расстоянии 1500 км...

а я проверил в минимальной конфигурации, настроил только:
- отключил dhcp-клиент wan1_ip и wan1net (и/или wan2_ip и wan2net)
- создал правило для пинга (или изменил существующее)

В моём частном случае "косяк" возникает в сети 10.ааа.0.0/16, а на 10.bbb.0.0/16 его нет и не важно это wan1 или wan2. В этих же сетях успешно работает куда более сложно сконфигурированная железка dfl-800

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)