Приветствую господа.
кто нибудь строил ipSec на этих машинах.

dfl-260e версия прошивки 2.40.00.10-16821
DIR-825AC версия 2.5.35

на dfl 260 поднят еще один ip sec.с ним проблем нет
поднял по аналогии с первом ipsec'ом второй
вот что в логах у dfl-260



2016-05-31
15:00:56 Info IPSEC
1800317


peer_is_dead
IPsec_tunnel_disabled
peer=xx.xxx.18.154
2016-05-31
15:00:56 Info IPSEC
1802708


ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xd8149062, AH=0x104487f6 Responder SPI "
2016-05-31
15:00:56 Warning IPSEC
1802022


ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID No Id" remote_peer="xx.xxx.18.154 ID No Id" initiator_spi="ESP=0xd8149062, AH=0x104487f6"
2016-05-31
15:00:56 Warning IPSEC
1802715


event_on_ike_sa


"xx.xxx.18.154 -- внешний ip удаленного роутера на DIR-825AC


если нужно приведу настройки ipsec с двух роутеров

скрины с обоих показывайте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

и время на железках проверьте

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

ipsec_ipremotenet-- локальная подсеть 192.168.3.0/24

ipsec_remote_endpoint --внешний адрес того роутера

второй роутер DIR

Подскажите.Какие ключевые строки у dir в настройках ipsec'a?

Я правильно понимаю, DIR выходит в Интернет через LTE-свисток?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

да,с внешним ip,котрый дал нам мегафон

а на интерфейсе DIR - серый адрес ? или тот который выдал вам Мегафонь

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

я так понля что он динамикой его прописал на свой свистоу,и роутер его прихватил

в статусе роутра это выглядит так



x.xxx.18.154/30
x.xxx.18.153

До какого оборудования первый тоннель? Внешний адрес от того же оператора?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Все закладки IPSec Tunnel_2 показывайте.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

MTU на тоннель одинаковый на железках?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Запросите в техподдержке Мегафона рекомендованный размер MTU.
Такой же и ставьте на тоннель на обоих железках.
Предположу, что они скажут MTU отличный от установленного у вас сейчас.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ну или можно опытным путем:

Чтобы опытным путем, узнать правильное значение, нужно соединение напрямую со свистком (без роутера), дальше в командной строке:

ping ХХХ.ХХХ.18.153 -f -l 1472

где ХХХ.ХХХ..18.153 - адрес шлюза оператора, 1472 это максимально проходящий пакет.

То есть, подбираем опытным путем максимальное число MTU, проходящее по пингу,



Затем добавляем число 28 и получаем правильный MTU.

В моей примере 1472 + 28 = 1500

Почему именно 28?
Потому что при посылке эхо-сигнала к пакету автоматически пришиваются 2 заголовка – IP (20 байт) и ICMP (8 байт).
Поэтому реальный размер пакета всегда получается на 28 байт больше, чем в указано в строке пинга.

Немного теории можно почерпнуть ТУТ
Программка по подбору MTU работает.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...