Здравствуйте, уважаемые форумчане!
Организован IPSEC тоннель между cisco 2811 и dfl-800 (Firmware Version - 2.27.00.15-14098 May 25 2010).
Каналы cisco - 100 Мбит/с D-link - 5 Мбит/с.
Проблема в следующем: при копировании файлов из сетевой шары с ПК в сети за D-link размером более 1 Мб либо наглухо зависает проводник либо скорость не превышает неприлично малых 25 Кбайт/с. Причем при навигации по папкам этой шары наблюдаются приличные тормоза. В это время загрузка cpu d-link повышается до 95-99%.
Самое главное, что при обратном копировании скорость около 600 кбайт/с.
Подскажите в чем может быть проблема?

может для начала попробовать поставить 2.27.03.25. С нормальным шифрованием но без русск. языка

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Безусловно, уже думал об этом, но сперва хотел бы уточнить несколько вопросов:
1. Не сбросится ли про обновлении прошивки до указанной Вами версии конфигурация железки. Т.к. d-link расположен в удаленном филиале и находится в продакшене, для меня это важный вопрос.
2. Как использования сильного шифрования может положительно повлиять на производительность? Разве не наоборот?
3. Не "накажут" ли меня за использование сильного шифрования без лицензии от ФСБ?

Не сбросится. Но разумеется прошивку и конфигурацию надо предварительно сохранить на всяк случай. И поскольку устройство удаленное продумать вариант его оживления удаленно. Опять же на всяк случай.

У меня при обновлении прошивки ни разу не один DFL не падал. Точнее так: лишь однажды после обновления прошивки DFL-800 не перезагрузился сам и пришлось перезагрузить его вручную. И один DFL-210 перестал жить при простой перезагрузке и пришлось его сбросить к заводским установкам, затем накатывать на него текущую прошивку и конфигурацию. В остальных нескольких десятках случаев все ок.

Да. Никак. Просто в надежде, что 2.27.03 - новее.

Накажут. Сначала Путин будет долго пытать, а потом Медведев расстреляет.

Или ничего не будет, как всем остальным здесь. Всем им грозит лишь не пройти сертификацию на соответствие ГОСТ по защите персональных данных, т.к. DFL с сильным шифрованием не сертифицированы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

1. У меня ранее тоже ни разу не сбрасывались. Меня вот что смутило ftp://ftp.dlink.ru/pub/FireWall/DFL-800 ... _first.txt
2. Если не сложно можете ссылкой поделится, где об этом подробнее рассказано.

Мне тут посоветовали MTU понижать. Только вот непонятно на обоих концах туннеля это делать или на каком-либо одном? И как вообще можно проверить точно ли дело в настройках MTU?
Спасибо.

1. Настройкм сбрасываются только при прошивке с сильного шифрования на урезанное.
2. тут на форуме эта тема с бородой. Обсуждалась часто. поищите

MTU надо понижать на обоих концах. Проверить можно командой ping -f -l. т.е. пинговать нефрагментированными пакетами длины MTU. Если пингуется - MTU ниже делать нет смысла.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, благодарю!
Обновил прошивку, разогнал всех любителей торрента из сети за D-link. Ситуация со скоростью выправилась.
Только вот теперь другая проблема: с ПК сети за d-link невожможно получить доступ к службам в сети за cisco, порты которых опубликован "в мир" с помощью ip nat inside... (проброс портов через nat).
Т.е эти службу принимают первичный запрос через туннель, а ответ пытаются отправить через nat.
Надеюсь, понятно изъяснился.

Не понятно.

Собственно, проблема проброса портов всегда возникает из-за NAT. Чем у вас ситуация отличается? Либо объясните подробно/иначе. Либо схемку дайте.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ок.
Проблема аналогична описанной здесь - http://www.opennet.ru/openforum/vsluhfo ... 18076.html
Собственно - это уже совсем не тема Dlink.
В принципе и решение там приведено. Вот только у меня на cisco не используются route-map'ы и завести на vpn пользователей в сети за D-link нужно не всех, остальные же должны продолжать пользоваться перебросом.