Добрый день, при переходе на указанную прошивку выявилось странное поведение туннелей.
настроен ipsec между 860E и 260Е. настройки все по умолчанию, ike main, dh - 2, pfs - none, включен dpd.

туннель поднимается только в случае его инициализации со стороны 860-го устройства.
вот лог с 260 при отключенном auto-establish на 860:
ike_sa_failed
statusmsg="Invalid syntax" reason="" local_peer="1.1.1.1:500 ID (null)" remote_peer="2.2.2.2:500 ID (null)" spi_i=... spi_r=... initiator=TRUE

вот лог с 260 при включенном auto-establish на 860:
ike_sa_created
ipsec_if=tmp-ipsec local_ip=1.1.1.1 local_port=500 remote_iface=wan remote_ip=2.2.2.2 remote_port=500 local_id=1.1.1.1 remote_id=2.2.2.2 local_ike_spi=... remote_ike_spi=... initiator=FALSE algorithms=des-cbc/hmac-md5-96/hmac-md5/MODP_1024 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=FALSE remote_behind_nat=FALSE initial_contact=FALSE

теперь проблематично поддерживать туннели с удаленными устройствами с динамическими внешними адресами, так как в этом случае auto-establish не работает

заранее спасибо за помощь.

update:
посмотрел ikesnoop'ом (на время в логах не обращайте внимания): на стороне 860, когда должна придти идентификация, ничего не приходит
2015-05-27 13:26:45: IkeSnoop: core:2.2.2.2:500 <- wan:1.1.1.1:500
2015-05-27 13:26:45: IkeSnoop: core:2.2.2.2:500 -> wan:1.1.1.1:500
Exchange type : Informational
ISAKMP Version : 1.0
и т.д.

хотя 260 все отправляет и получает ошибку :
2012-05-27 12:33:07: IkeSnoop: core:1.1.1.1:500 -> wan:2.2.2.2:500
Exchange type : Identity Protection (main mode)
ISAKMP Version : 1.0
Flags : E (encryption)
Cookies : 0x3a367445f5f0c1f6 -> 0x2a8aa99f492fbbe0
Message ID : 0x00000000
Packet length : 88 bytes
# payloads : 3
Payloads:
ID (Identification)
Payload data length : 8 bytes
ID : 1.1.1.1
HASH (Hash)
Payload data length : 16 bytes
N (Notification)
Payload data length : 24 bytes
Protocol ID : ISAKMP
Notification : Initial contact

2012-05-27 12:33:07: IkeSnoop: core:1.1.1.1:500 <- wan:2.2.2.2:500
Exchange type : Informational
ISAKMP Version : 1.0
Flags :
Cookies : 0x3a367445f5f0c1f6 -> 0x2a8aa99f492fbbe0
Message ID : 0x12d8c405
Packet length : 197 bytes
# payloads : 1
Payloads:
N (Notification)
Payload data length : 165 bytes
Protocol ID : ISAKMP
Notification : Invalid payload type
Notification data:
Notify message version: 1
Offending payload type: Unknown payload type
Error text: "Incorrect pre-shared key (Invalid next payload value)"
Offending message ID: 0x00000000

До этого какие прошивки были?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

2.27.07.01

RU или ww?
У меня с ww таких проблем не было.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

ww

На самом деле можно откатиться на старый вариант прошивки. Разве что потом апгрейдить ее до 2.40.04.08 WW - последней с традиционным интерфейсом.

Посмотреть на результат, и решать двигаться ли дальше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

под рукой нет свободного девайса - как устройство перенесет залитие поверх 10-ой прошивки обратно 2.40? конфигурация выживет?
2YuriAM: подозреваете, что подобное поведение появилось вместе с новым интерфейсом (с 2.60)? или почему предлагаете именно 2.40?

2.40.04.08 WW предлагаю потому, что на ней долго жили и в основном без проблем.

откат должен пройти гладко.
Но для чистоты лучше залить вашу старую прошивку и на нее накатить сохраненную ранее конфигурацию

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.