Настроен VPN между DI-804HV и DFL-700. По факту соединения по нему осуществляются только со стороны DI-804HV. Поставлен следующий эксперимент: соединяюсь с FTP-сервером через VPN. Чтение с него файла происходит без проблем. Если я записываю на сервер файл короче 8Кбайт, то файл записывается успешно (8Кбайт - оценка на глаз). Если файл больше, то после достижения этой границы начинаются остановки, потом размер добирается до 10Кбайт, после чего передача совсем останавливается и соединение рвется по таймауту. Я смотрел сниффером пакеты в локальной сети DI-804HV. 8Кбайт быстро передаются, затем стороны соединения каким-то образом начинают терять пакеты, у них сбивается позиционирование в TCP-потоке. Начинаются перезапросы, они проваливаются. В итоге соединение рвется по таймауту.

Аналогичная проблема через VPN присутствует в работе POP3-клиента (отправляются только короткие письма), с работой сетевым диском файлового сервера (Windows).

Есть другой DI-804HV, соединяющий другую сеть с этим же DFL-700. У него все работает без проблем, но он находится в той же сети, что и DFL-700. Наш DI-804HV находится "далеко" от него. Мы меняли эти роутеры местами, подключали наш роутер практически непосредственно к провайдеру - проблема осталась.

У нас прошивка 1.40.

При замене маршрутизатора проблема остается с маршрутизатором или с местом? Если с маршрутизатором, то попробуйте сброс к заводским установкам и последнюю прошивку. Если с местом -- то проблема где то по пути, вероятнее всего с MTU.

_________________
С уважением -- Александр Шебаронин.

Та же проблема наблюдается на коробке DFL-600 и любым клиентом VPN
Если второй абонент находится довольно далеко(например по адресу вида 212.179.102.х при присоединении к сетям Совинтела) то соединение устанавливается, прокачивается максимум 10 килобайт, а потом слетает. Причем моментом начала глюков является ответ сервера внутри офиса - к машине внтури VPN канала. Кстати через коробку на эти адреса пинги не проходят, а вот из внешней сети, в которой висит коробка - пожалуйста. То есть дело в алгоритме работы самих DFL-600 и DFL-700 и возможно в роутинге до дальних подсетей
Насчет исправят - вряд ли, можете искать другую коробку

Уважаемый optimist!
у нас удаленные офисы подключены с использованием нашего (естественно) оборудования. Так вот офис в Хабаровске (согласитесь -- далеко и географически, и в плане роутинга) нормально без всяких проблем подключается и прокачивает трафик гигабайтами без проблем. Посему я считаю ваше утверждение попросту голословным, а размышления -- измышлизмами, извините за резкий тон.

_________________
С уважением -- Александр Шебаронин.

наболело, извините

Alexander Shebaronin, проверялись старый маршрутизатор в старом месте, старый маршрутизатор в новом месте, новый маршрутизатор в старом месте. Везде поведение было одинаковым. Попробую обновить прошивку и сбросить настройки.

Сделали VPN между двумя DI-804HV. У обоих установили прошивки 1.42. Параметры VPN установили по методу, описанному в FAQ. Сходу не заработало. Почитав форум, сделал несколько тестов.

Для начала сделал тест с ping'ами разных размеров без возможности фрагментирования. Если пакеты не длиннее, то 1400 байт, то пинги проходят. Если 1400-1472 - половина их пропадает. Свяше 1472 байт пинги не идут, ссылаясь на невозможность посылки таких пакетов с флагом DF.

Далее я разрешил фрагментацию. Попробовал послать пинг размером 2000 - он умер. Ни один пинг не дошел (не прошел). По tracert нашел маршрутизатор, до которого фрагментированные пинги не идут (он маленькими пингами пингуется, а большими - молчит; все, что за ним тоже молчит). Это циска у провайдера.

Стал уменьшать MTU на машине. С одной стороны, это действительно помогает. В принципе, файлы проходят, но странно. В ту сторону, в которую VPN работает, скорость передачи составляет 25Кбайт/с. В обратную сторону, в которую раньше не работало, колеблется в районе 200байт/с. Посылаю по ftp файл, думаю умерла передача - ан нет, дышил что-то. Раз в полминуты дернется, кусочек перешлет. Точную границу не скажу, но примерно при MTU свыше 1200 байт пакеты рубятся.

Провел еще тест. Подключился к другому провайдеру. Запустил фрагментированные ping'и по узлам, выданным tracert - ходят до самого конца. Запустил ping'и по VPN. Пакеты меньше 1000 байт ходят исправно. С увеличением размера начинают теряться. Ping на 5К не проходит вообще. Без ограничения MTU VPN все равно не работает. При установке ограничения MTU на машине связь появляется, но на такой же маленькой скорости, что и было в предыдущем тесте.

Итог: на скорость работы VPN в одну из сторон резанье/наличие фрагментированных IP-пакетов не влияет.

Кстати, размер 8Кбайт возникает скорее всего из-за программной реализации стека TCP/IP в Windows. Этот объем загружается в сокет,а затем потихоньку передается (200 байт/с). При отсутствии ограничения на MTU срабатывает таймаут. При наличии ограничения - данные потихоньку передаются. С другой стороны, перспектива настройки MTU на каждой машине в моей сети мне не кажется радужной. Да и скорость никуда не годится.