Vladimir22 писал(а):
А кто его знает? Может в mtu может в правилах, может ещё в вашем хитром ipsec.. Мой телепатический шлем потерял VPN с вашим роутером...
Пардон, обрисую более детально :
Есть 2 DFL 1660, между ними через л3 свитч связность
DFL A :
LAN1 : 10.10.250.4/24
LAN2 : 192.168.203.1/24
DFL B :
LAN1 : 10.10.14.3/24
LAN2 : 10.10.4.1/24
По вашей статье выше настроил IPsec между ними (DFL A =>10.10.250.4 |===| 10.10.14.3<=DFL B). MTU 2000
Со стороны DFL A указал маршрут до сети 10.10.4.0/24 через IPsec до DFL B. На DFL B соответственно маршрут до сети 192.168.203.0/24 через IPsec до DFL B.
С обоих сторон добавлены ACL на прохождение всего трафика до всех подсетей через IPsec тунели.
Связность между подсетями появилась, пакеты побежали.
Теперь самое интересное : к DFL A из вне подключается DFL 260e по IPsec (настроена примерно как по статье
http://www.dlink.co.il/r/faq/92/850.html см. DFL), со стороны DFL A такие же настройки IPsec до неё. MTU 1420
DFL 260e:
LAN : 10.100.100.1/24
На DFL B добавляем маршрут до сети DFL 260e (10.100.100.0/24) через IPsec до DFL A.
На DFL 260e в IPsec добавляем remote-network сеть DFL B (LAN2 : 10.10.4.0/24), создаем разрешающие правила.
Пакеты побежали, службы завелись. Но. Если из сети DFL 260e (10.100.100.0/24) делать пинг до любого узла в сети DFL B (LAN2 : 10.10.4.0/24) c размером пакета больше 1392, пакет недолетает.
Тоже самое, если делать с любого хоста в сети DFL B (LAN2 : 10.10.4.0/24) до сети DFL 260e (10.100.100.0/24). Судя по логам, пакеты улетают (правила пишут что соединение установлено)
Между сетью DFL 260e (10.100.100.0/24) и DFL A (LAN2 : 192.168.203.0/24) все хорошо идет.
Между сетью DFL A (LAN2 : 192.168.203.0/24) и DFL B (LAN2 : 10.10.4.0/24) тоже все хорошо.
Куда хоть можно капнуть с таким моментом?