Всем здравствуйте.

Возникла проблема после обновления ПО на DFL-860e на FW 11.04.01.11.
Сразу скажу, что железка сконфигурирована не просто и много всего в ней используется, так что конфиг и т.п. показывать нет смысла, опишу проблему.

После обновления по с FW 2.60.02.02 на FW 11.04.01.11 сети находящиеся(указанные) за клиентами pptp сервера (l2tp не проверял) перестали динамически попадать в таблицу маршрутизации.
Т.е. есть юзер в локальной базе на dfl и каждому юзеру указано какие сети и/или подсети/хосты живут за ним (т.е. указан у каждого пользователя свой групповой объект в поле Networks behind user). На всех предыдущих прошивках после подключения пользователя к pptp/l2tp серверу вместе с хостом Static Client IP Address в таблицу маршрутизации динамически помещался с нужной метрикой объект указанный в «Networks behind user». После обновления на указанную прошивку этого не происходит. Принудительное «Forcibly Log Out» не решает этого.

Пока ставил эксперименты обнаружил, что если зайти в настройки пользователя и поменять объект в поле «Networks behind user» (неважно, можно создать ещё один такой же, либо любое действие с изменением этого поля), либо даже отредактировать сам объект указанный в поле Networks behind user», и применить настройки, то после принудительного «Forcibly Log Out» и переподключения клиента нужные сети появляются в таблице маршрутизации и трафик «начинает бегать».

Считаю ВАЖНЫМ отметить особенность: что если есть два впн клиента, а редактировался только одного юзера/один адресный объект, то после применения настроек и принудительного переподключения клиентов (всех/обоих клиентов) dfl «засовывает» указанные у всех их сети как динамические и всё начинает работать, вплоть до перезагрузки железки (по питанию, или через вёю с отключением питания)

Также сразу добавлю, что если указать явно сам адрес сети за пользователем, а не объект, то проблему это не решает.

Других багов пока не заметил, но и не проверял на них.
для инфы: клиенты это тоже dfl-ки (210 и 860e)


У кого есть мысли как быть, что попробовать?
завтра (21 декабря 2016) есть время попробовать, а если не получится, то придётся откатывать на старую

у меня есть свободное железо, что в будущем стенд собрать, но сейчас на это нет времени, но в любом случае стенд будет мало похож на реальную среду где есть проблема.


Зы. Я обычно обновляю прошивки последовательно, но так сложилось, что на 10.х.х.х не перешёл из-за разных «багов» в прошивках из-за которых не работал нормально старый конфиг и ранее не стал рисковать и мучатся, сейчас решился попробовать и сразу проблемы

Ззы. Конфиг железке плавно переезжал в течении 8 лет с dfl-210, потом dfl-800 потом dfl-860e, конфиг в dfl860e заливался через скрипт с бубнами и танцами, не весь предыдущий «функционал» удалось стартануть, но нашёл обходные пути и где-то «распрощался с наработками». Но в рамках одной железке dfl-860e больше всего проблем при смене прошивки нет уверенности даже в работе там где ничего хитрого не выдумывал, например pptp/l2tp-сервер.

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Спасибо за информацию ....
Думаю , что это надо писать в ШК, самим сотрудникам... и выяснять это.

У меня тоже есть 260е могу присоединится к проверке.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

пошёл откатываться на 2.60.02.02, надеюсь успешно будет...

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

откатывайтесь на 10 ю . вполне нормально РОБИТ

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

откатился обратно на 2.60.02.02, обновился до 10.22.01.04 указанной проблемы не обнаружил
дальше попробовал обновиться с 10.22.01.04 до 11.04.01.11 – проблема присутствует
откатился на 10.22.01.04

я уже загорелся завести в домашнем хозяйстве DFL-870, но теперь беспокоюсь, что будет описанная проблема, версия международной прошивки у DFL-870 такая же: 11.04.01.11


ps. было бы время стенд бы собрал на dfl-860e, хотя б в простенькой конфигурации, возможно соберу перед покупкой dfl-870
pps. Видать буду продавать свободные DFL-860e, ну очень хочется иметь помощнее железку.

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Мне вполне дома хватает 260е. С запасом. Правда у меня канал инета 10 ка. 2 ипсек туннеля . И 4 удаленные сети : 2на пптп и 2по л2тп. Вполне себе.
Если есть желание, можно соеденится.

Скоро может гуру дфл'ей поисоеденится, когда ремонт доделает.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

и так, поставил тест на простой конфигурации!

Сразу скажу, что не с нуля настраивал 11.04.01.11, а обновлялся с 10.22.01.04 до 11.04.01.11

если коротко результат: косяк в прошивке есть, но кое-что ещё интересное заметил (об этом ниже на скриншотах).


заметил, просто потому что таблица маршрутизации одна и конфиг простой


Сценарий:

Есть клиент у которого в поле «Networks behind user» прописан объект Test_Group.


Редактирование объекта Test_Host не повлияло на таблицу маршрутизации после «Forcibly Log Out»
А когда поменял объект Test_Group на Test_Group2 и «Forcibly Log Out», то в таблицу маршрутизации попали нужные сети/хосты

add IP4Address Test_Host Address=10.77.77.70 -silent -force
add IP4Address Test_Net Address=10.88.88.0/24 -silent -force
add IP4Group Test_Group Members="Test_Host, Test_Net" -silent -force
add IP4Group Test_Group2 Members=Test_Group -silent -force

До ребута по питанию нужные хосты в таблице маршрутизации сохраняются после «Forcibly Log Out».

На скриншотах ниже видно как отличаются таблицы маршрутизации после «успешного» Forcibly Log Out

Есть какой-то неработающий маршрут 0.0.0.0/0 с той самой метрикой 33 которая прописана у юзера и нигде больше.
После редактирования пользователя и переподключения, появляются правильные сети/хосты с метрикой 33.


Очень жду комментариев от специалистов из D-Link, может они воспроизведут данную проблему у себя и в штаб квартиру напишут. Тогда есть шанс, что поправят косяк в ближайшей прошивке для всех в т.ч. и в 870-ой модели. Я б уже б пошёл покупать, но там такая прошивка первая и с таким косяком для меня это -- неработоспособность железки (

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

И ещё заметил, что с прошивкой 11.04.01.11 снова два разных впн клиента (pptp/l2tp) до впн (pptp/l2tp) сервера c одним адресом.
С какой-то прошивки перестали подниматься l2tp параллельно (или даже вообще у меня).

Может это случайно, но как-то странно, откатил назад, перестали подниматься, а настройки не менялись. Также заметил, что л2тп снова подключились, когда впервые тестил на другой железке эту прошивку, где столкнулся с проблемой топика.

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

кросс пост

Такие же проблемы в родной прошивке с завода 2.27.31.09 в DFL-870 только нет фэйкового маршрута 0.0.0.0/0

дополнение: зато в DFL-870 с 11.04.01.11 нет озвученных мной проблем с ptp/l2tp-сервером и полем «Networks behind user» -- я уже смирился, что в 11-ой версии будет обязательно и может хотя бы в русской не будет, а оказалось всё наоборот!


и так, проблема обнаружена в:
DFL-860E с 11.04.01.11
DFL-870 с 2.27.31.09

проблему НЕ обнаружил в:
DFL-860E с 10.22.01.04 (вероятнее всего и во всех предыдущих)
DFL-870 с 11.04.01.11

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

надо попробовать, настроить не обновлением, а с нуля
в новых прошивках (вроде начиная с 10) есть изменение в месте добавления динамических маршрутов, при подключении клиентов vpn
не добавляется маршрут на внешний IP клиента, т.е. в старых прошивках поднималось 2 динамических маршрута, в новой один, конечно это без учета net. behind user, обновление могло вызвать конфликт
т.е. реально этот маршрут есть, но он где-то "за кадром", т.е. теперь система не просто показывает в таблице все динамические маршруты при подключении vpn клиента, а обрабатывает их какой-то логикой, какой показывать, какой нет

сам сталкивался с тем, что добавлял в поле net. behind user, одну сеть, для разных пользователей, естественно, работал маршрут на первого подключившегося

сегодня, уже вчера, удалось протестировать на DFL-860E на прошивке 11.04.01.11 со сбросом настроек -- Успешно!!

все мои успешные тесты на прошивке 11.04.01.11 для DFL-870 и DFL-860E были проделаны после сброса конфига для pptp сервера на wan2 -- очень надеюсь что дело не в ван2, думается что это маловероятно, если в нём, то тему подниму позже.



---

ИТОГО:
чтобы не было проблем как всегда рекомендуется, но сложно исполняется: обязательно после прошивки до 11.04.01.11 сбросить конфиг и настроить с нуля.

---

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Здравствуйте.
После обновления на эту прошивку перестал работать DHCP-клиент на интерфейсе wan2. IP-адрес, маску, и т.д. не получает. Пишет DISCOVERING и все. Провайдер beeline. При откате прошивки - все работает. Пробовал сбрасывать настройки по умолчанию - не помогло. Пока что прописал адрес статически, но это не дело. Проверьте пожалуйста.

коротко: для DFL-870 с 11.04.01.11 вылезла описанная проблема, выключил/включил пользователя в локальной базе и маршруты появились, хотя когда тестировал новую железку, вроде проблем не было (

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)