Есть центральный офис. Он подключен к интернету через DFL-210. Плюс филиалы (штук 15, везде та же DFL-210). Все филиалы подключены к центральному офису через IPSEC туннели. Часть офисов имеет свой интернет, часть выходит в интернет через центральный офис.

Так вот, недавно заметили, что филиалы у которых нет своего инета, не могут отправить почту (своего smtp сервера нет, используется хостинг на masterhost.ru). Причём, удётся отправить письма очень маленького размера (до 1-2 кб). Но с центрального офиса отправляются письма любого размера без проблем.
Ещё, при отправке большого письма с филиала, почтовая программа показывает в окне состояния, что отправилось 40-70%. И потом по таймауту (минута-две) пишет, что не удалось доставить письмо.
Получение писем с хостинга по pop3 проходят без проблем.

Правила доступа проверены уже многократно (да и не в них дело, раз маленькие письма уходят). Но вот конкретно для почты:
...
11 NAT *:192.168.0.0/16 wan:83.222.26.36, 94.100.177.6 "pop3"
12 NAT *:0.0.0.0/0 wan:217.16.16.82, 94.100.177.1 "all_services"
...
Правило 12 переписывалось уже многократно (вместо all_services было smtp, для адресов назначения стояло any и т.п.).

С чем может быть связана такая ситуация? Может это быть из-за того, что файрвол не справляется с нагрузкой (хотя в статусе системы проц загружен на 20%, память: 37 из 128 М, соединений 3-4 тыс. из 10 тыс.)?

Проблемы на 2.26 и 2.27 прошивке сохраняются.

Явная проблема с MTU. Самый простой и надежный способ решения, уменьшить MTU на компьютерах в удаленных сетях, без выхода в интернет.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, попробовать можно. Но 2 спорных момента:
1. раньше (неделю-две назад) почта с удалённых офисов уходила нормально.
2. сейчас есть несколько машин в офисах с которых можно отправить большие письма (я более чем уверен, что мту там не меняли, но проверю).

1. На Win XP значение MTU по умолчанию 1500 c них вероятно и не отправляется.
2. На Win Vista/7 MTU по умолчанию уже меньше с них вероятно и работает.


Уменьшайте MTU, других советов я вам пока дать не могу.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Да, уменьшив mtu, получилось отправить почту.

Но анализируя трафик сниффером в сессии со стандартными MTU я вижу, что первые пакеты (большие пакеты, когда начинается отправка самого письма) уходят, и с почтового сервера приходит ACK на них. Но с какого-то момента пропадают АСК, начинают идти duplicate ACK, потом tcp retransmission и наконец сервер закрывает соединение.
Я не могу понять: если проблема в MTU, то вообще не проходили бы большие пакеты, а они ведь вначале уходят (и судя по ответам сервера удачно доходят!)
Почему так?!

Могу выложить файл с сессией в .pcap формате.