В абсолютно новом VPN-роутере D-Link 804HV сразу обнаружились нижеописанные "радости".

Условия работы.
[Компьютер с eth=100Mb} <-->[804HV]<--> [ADSL/2Mb]

1.Серификат доверия
При заходе на роутер как по удаленному доступу, так и из его локалки по httpS периодически теряется сертификат доверия с выдачей сообщения:
- "Сертификат данного узла проверить не удается"
- "Сертификат выдан организаций, не входящей в состав доверенных"
- "Указанное в сертификате название не совпадает с названием узла".
Приходится ребутить роутер, но через некоторое время эффект повторяется.

2. Тормоза при управлению по httpS
При настройке роутера по веб-интерфейсу через httpS часто наблюдаются дикие тормоза - меню открывается за десятки секунд, пририсовываясь как в замедленном кино. Соответственно кнопки левого меню в графическом виде не прорисовываются, и их названия не видны.
Часто работа в этом httpS-режиме управления приводит к самовольной перезагрузке роутера с потерей логов, либо к полной потере управления им (броузер сообщает "Невозможно открыть страницу"), чему помогает только Power Off.

3. Работа с удаленной локалкой по PPTP.
Удаленный PPTP сервер построен на Linux RHEL3.

3.1. Стабильность коннекта.
Систематически (каждые 30 минут или чаще) теряется связь с PPTP-сервером, после чего в логах роутера появляются следующие сообщения, связанные с попытками инициализировать DHCP-сервер:

Sunday November 20, 2005 13:14:47 DHCP:renew
Sunday November 20, 2005 13:14:52 DHCP:renew
Sunday November 20, 2005 13:15:01 DHCP:renew
Sunday November 20, 2005 13:15:17 DHCP:renew

3.2 Производительность роутера.
При работе обычной работе WAN скорость достигает 250К, т.е. фактически приближается к скорости канала 2М.
При работе через PPTP она снижается до 50К, т.е. падает в 5 раз.
Где обещанная производительность? Даже виндовая реализация PPTP обгоняет 804HV.


3.3 Доступ к FTP-ресурсам.
При работе через PPTP полностью нарушен доступ к FTP-ресурсам Internet - диалог установления коннекта любого FTP-клиента на компьютере с удаленным FTP-сервером доходит до строки

500 Illegal PORT coomand

и дальше связь теряется, после чего попытки коннекта циклически повторяются, причем бесполезно.
Выяснилось - что это связано с особенностями Linux--сервера - при переходе на passive mode работа с фтп-ресурсами нормализовалась. Вопрос снимается.

4. Использование VPN-функций
Клиентом выступал openswan-2.3.1+KLIPS.
Используемые параметры соединения IPSec:
IKE, preshared key, 3des-sha1-dh2, lifetime=3600sec, pfs=no, NAT_T=no

4.1. В качесте клиента с задачей роутер справился, соединение устанавливалось.
4.2. в качестве сервера IPSec заставить его работать не удалось.

5. Тепловой режим.
Роутер не перегревался, гарью, расплавленной пластмассой и лаком от него не благоухало.
Похоже, в этой модели разработчики учли уроки DI-604.

6. Через некоторое время (роутер простоял ночь включенным) в нем перестали писаться логи. Т.е. все замерло на 21-й странице - никаких новых событий, хотя реально их было полно, включая внешнее сканирование. В целом роутер продолжает работать с вышеописными глюками.
-------------------------------------------------------------------------------------

Прошу дать исчерпывающие рекомендации по дальнейшей участи данного роутера.
Только, пожалуйста, не из серии гадания на кофейной гуще "Попробуйте залить новую прошивку 1.42", поскольку вы, являясь технической поддержкой, должны вести учет траблов и знать, что конкретно дает та или иная прошивка, а не предлагать менять ее наобум.
К тому же, со своей стороны, я внимательно изучил данный форум и обнаружил, что ваши рекомендации обновить прошивку в основном ни к чему не приводят - траблы, обнаруженные пользователями, таким методом не устраняются.

Это пока все, что удалось обнаружить за один день работы с этим веселым роутером

Дикий тормоза и на 824VUP+, когда заходишь по httpS
А чтобы не было воплей Windows по поводу сертификата необходимо импортировать его в качестве доверенных издателей средствами самого IE.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Если бы кто-то еще сказал, что делать... Разве это нормально - когда рутер захлебывается всего лишь при веб-управлении на ssl-128? А что тогда говорить про обеспечение ipsec-работы по всем 4-м портам с макимальной скоростью? Кто-то похвалялся, что при тестировании 804HV ведет себя лучше, чем больше нагрузка. Гм...


Все равно осталось "Указанное в сертификате название не совпадает с названием узла". К тому же после ребута сертификат все равно ломается (Мозилла FF 1.0.7, Линукс)

Какая аппаратная версия устройства и версия прошивки?

1. Разберёмся
2. У меня в офисе 2 года простоял (только снял) 804-й и управлял я им через https. Да. Не летал, но в принципе было приемлемо.
3.1 У меня он стоял на PPTP к голдене телекому. За два года никаких проблем.
3.2 Производительность устройства я замерял неоднократно и показывал это на тренингах. Без туннелирования и шифрования - 50М, а при использовании туннелирования и шифровния, в зависимости от выбранных режимов от 2 до 6М. И это я говорю о чистой ТСР скорости. Естественно, что данная скорость будет ниже чем на компьютере. Вы ожидали, что от устройства за 80$ вы получите такую же производительность как у машины за 700$?

4. В IPSec понятие клиента и сервера есть только при использовании xAuth. Судя по приведённым настройкам вы не использовали xAuth. Опишите более подробно конфигурацию и настройки - подскажем в чём нюанс.

6. За два года ничего подобного не наблюдалось. Все логи у меня хранятся до сих пор. Рекомендую включить на странице Tools->Misk режимы SPI и DoS. Так как подвисания могут быть вызваны атаками на устройство.

По поводу "У меня в офисе 2 года простоял", "За два года ничего подобного не наблюдалось", "За два года никаких проблем" - Иван, вы Толстого помните?
© "Все семьи счастливы одинаково, а несчастливы по-своему".

На подобные заверения я и купился , а теперь расхлебываю.
Это я к тому, что здесь речь идет не о том, что у кого-то хорошо работает - такие клиенты сюда не приходят, им просто это незачем.
К тому же если у кого-то хорошо работает, это вовсе не является доказательством, что так работает у всех.

Итак, давайте конкретно по вашим ответам.
FW - 1.41, HW - B1

1. Ждем-с.

2. Извините - это не рекомендация, а констанция факта по ^вашему^ роутеру. Еще раз прошу обратить внимание - речь идет не о вашем, а о моей роутере.

3.1. То же самое.

3.2. Позвольте, о какой скорости вы здесь говорите?

Ведь я указал полученный результат на pptp - 50К. Или это что, предел мечтаний для 804HV ?

4. Ok, опишу.

6. DoS был включен, добавил сейчас SPI.
А что значит ваше "логи хранятся до сих пор?" Сколько же страниц они занимают? У меня больше 21-й страницы не показывало - перестало наращивать, а потом сбрасывало.
Кстати, сегодня, когда формирование логов нарушилось, показывало 21/21, затем 21/18 (?), а теперь снова 18/18.
Странно как-то

Вы абсолютно правы.
Вы абсолютно правильно поняли то, что я вам написал.
У вас есть конкретная проблема. Давайте с ней разбираться, а не обобщать и не гадать на кофейной гуще.
От вас необходимо:
Аппаратная версия устройства, программная версия. Полная информация о том что стоит с другой стороны: версия ОС, и т.д. И логи с обеих сторон.

Лучше, наверное в почту, так как переписка может быть довольно длительной.

Иван: Согласен.
Со своей стороны постараюсь представить объективную и детальную информацию. Самому тоже не верится, что у железок с такой ценой может быть не отработан такой большой перечень недостатков.
Пожалуй, пришло время обновить прошивку

Сменил прошивку на 1.42

Достигнутые результаты

1. Скорость по PPTP как была низкой - 50К, так и осталась.
При этом связь как рвалась каждые 30 мин, так и рвется.

2. Без PPTP появился новый эффект (ранее он был не столь частым) - работающая аська стала периодически терять связь.

3. При переходах на режим PPTP и обратно роутер стал тормозить в управлении, и конце концов перестал управляться. При этом работа с Интернетом через него сохранилась.
Тормоза снова приводили к тому, что его меню перестало прорисываться до конца.

4. В конечном итоге роутер стал вести себя настолько неадекватно, что нормальное управление им стало невозможным. Пришлось дать аппаратный сброс (скрепкой, строго по инструкции на 5сек )
Однако он окончательно усоп, и его веб-сервак перестал откликаться.

Все, устал на сегодня с ним сражаться. Впечатления о стабильности и предсказуемости его работы самые омерзительные.

Выключил его и пошел строить строить PPTP на галимой, глюкавой винде. Интересно будет сравнить

Погибель роутера явилась окончательным результатом его предварительных неадекватностей... Видно ему постепенно становилось хуже и хуже. Что ж, не бывает производства без огрехов. Привозите в сервис, починим.

_________________
С уважением -- Александр Шебаронин.

Как обещал, предоставляю дальнейшую объективную информацию.

1. Соорудил PPTP на галимой винде. Как и предполагалось, коннект получился не лучше, а хуже:
- скорость осталась той же - 45-50К
- аська по этому коннекту, как это ни странно, вообще перестала подыматься.

Вывод: по PPTP претензии к роутеру пока снимаются, и пристальное внимание переводится на pptp-демон линукса (кто бы мог на него подумать?).
Во-всяком случае, роутер по PPTP дает винде явную фору, и это уже радует

2. Сам роутер: за ночь отлежался, и стал откликаться по вебу. Но как-то странно - захожу по обычному http, а реально попадаю все равно по httpS, все никак он его не может забыть.
Есть тут в нем явная глюкавость - если общаться по http, то еще терпимо, и бегает шустро, но стоит зацепиться по httpS, так все, забор поплыл, качаясь, на волнах.

Поскольку прошивка теперь 1.42, самый свежак, получается что, железо? У меня HW = B1. Наблюдались ли с этой партией подобные заморочки?

Остальные эксперименты (дальнейшая проверка ipsec) пока в плане.

PS.
Интересно бы знать, для общего развития - а как он чинится? Заменой всей платы или перепаиванием отдельных чипсетов?

Кое-как (все цепочку шаманства не запомнил) удалось перевести рутер на обычное управление - http. Снова все летает!

Объсните, плиз, что это реализация такая httpS, что по нему роутер так глючит? Может, вам надо дать официальное объявление, что этот режим пока находится в стадии бета-тестирования и им можно пользоваться только любителям взбодрить свой андреналин ?

PS. Если бы ваш форум позволял включать картинки, я мог бы выложить скриншоты того жуткого зрелища, какое представляет собой экран роутера при попытках руления по https

804 действительно плоховат при работе по https. и медленный... дело в том, что там же шифрование, а процессорик слабенький, ну что может -- то и выдает. а девайс чинится по разному, бывает что и перепаиванием BGA. Платы не меняются. То, что девайс не работал, но, отлежавшись, заработал, на самом деле не есть хороший признак...

_________________
С уважением -- Александр Шебаронин.

тогда отсюда возникает сразу 2 вопроса:
- что значит плоховат и медленный? если это цифровое устройство (надеюсь, что так), то какова бы ни была мала его скорость, он должен пусть через секунду, пусть через час дойти до нужной точки алгоритма. А если он по дороге к ней бездарно повесился, то извините, скоростью это никак объяснить (чем - сами знаете)
- если проц один на всех про всех, то как же тогда он справляется с заявленным потоком 6Мб по всем туннелям? Ведь руление по https - это сравнительно ничтожная его загрузка открытия его страничек, а на 40 туннелях он и вовсе должен загнуться.


вот и я про то же. Но чинить принципиально не хочу - новый, еще не успел поработать! - где гарантия, что после починки и окончания гарантийки он снова не заглючит?
Предпочитаю его поменять на экземпляр из другой партии.
Как уже сообщал, мне достался 1.41/B1. Проинформируте, пожалуйста, на экземпляр из какой партии я его должен поменять, чтобы он работал стабильно.

Ну по пунктам.
Если устройство уже работало с неполадками, зависало, не отвечало и начало работать после того, как отлежалось ночь -- уже не факт что с ним все в порядке. Посему оно может и не добраться до точки алгоритма, как вы выразились.
Для шифрования IPSec используются спец. блоки аппаратного ускорения. для SSL они не используются.
Можете менять его на экземпляр из любой партии -- 99% устройств работают стабильно.

_________________
С уважением -- Александр Шебаронин.

Александр, спасибо за конструктивную информацию! Теперь понятно, почему, полностью утратив утратив управление, рутер продолжал обеспечивать работу сети.
Приятно иметь дело с настоящими специалистами Вы бы подсказали бы своим вендорам, чтобы они все функции реализовывали бы аппаратно, а то сети достались все вкусности, а админам - объедки.
Возможно, действительно попался "удачный" экземпляр. Но если и второй попадется такой же....