Схема подключения следующая.
DI808HV(1) --- Zyxel -- Провайдер -- Другой провайдер -- Zyxel -- DI808HV(2)

(Оба устройства DI808HV имеют прошивку 1.44)

Настроен переброс портов 500, 1723, 1701.
Протоколы 6, 14, 47, 50, 51 разрешены

Между DI808HV(1) и DI808HV(2) установлено VPN-соединение.

Пинги проходят, но файлы размером больше 2КБ по VPN не ходят.

Пробовал на устройствах Zyxel менять MTU -- не помогло.

Звонил в служюу поддержки DLink. Там мне ответили, что мне просто не повезло
и посоветовали избавиться от устройств Zyxel.

Но мне бы всё-таки хотелось услышать от сотрудников DLink более конструктивный ответ.

С моей стороны выполнены все требования в соответствии с RFC. А если DI808HV не
отвечает стандарту, то это устройство, на мой взгляд, вообще продаваться не должно.


В общем я жду от службы поддержки ответа на мой вопрос.

А ругать Zyxel -- это всё равно что ругать CISSCO.

есть докумнент, который может Вам помочь:
http://www.dlink.ru/technical/faq_vpn_12.php

А какой MSS используется в DI808HV?
Вот содержимое файла "autoexec.net" на моём Zyxel-устройстве,
к которому подключён DI808HV:
sys errctl 0
sys trcl level 5
sys trcl type 1180
sys trcp cr 64 96
sys trcl sw off
sys trcp sw off
ip tcp mss 512
ip tcp limit 2
ip tcp irtt 65000
ip tcp window 2
ip tcp ceiling 6000
ip rip activate
ip rip merge on
ip icmp discovery e
ppp ipcp compress o
sys wdog sw on
sys quick enable
wan adsl rate off

Судя по строке "ip tcp mss 512" в Zyxel используется mss=512.

Должен ли я изменить это значение? Каким по Вашему мнению оно должно быть?

обратитесь пожалуйста в службу поддержки ZyXel.
Вам привели документ, в котором описываются причины подобного рода проблем. Так же как и варианты их устранения.
Со стороны DI-808HV проблем нет. Для того, чтобы убедиться в этом достаточно исключить из схемы модемы и протестировать работу туннеля напрямую.

_________________
С уважением, Карагезов Владислав

А как Вы предлагаете исключить из схемы модемы?
Я в вэб-интерфейсе DI808HV не смог найти место куда
можно ввести параметры провайдера VCI, VPI.

Так что DI808HV сам по себе к провайдеру подключаться не умеет.

Установите MTU на одной из машин заведомо меньшее чем WAN_MTU на нашем устройстве. И если ZyXel без проблем будет работать с фрагметированым трафиком, а он будет фрагментироватся, то никаких проблем не возникнет.
Вся физика процесса описана в документе который я прилагал выше.
DI-80x это ethernet устройство и соотвестенно не может работать в среде DSL.

Каким образом мне в WindowsXP прописать MTU.
Те действия с реестром, которые указаны в статье ни к чему не привели(похоже, что в моей XP таких разделов в реестре не существует).

Пробовал ставить между клиентом и DI808HV девайс DI704P, на котором прописал MTU=1472. Тоже не помогло.

По поводу настройки WinXP обратитесь на сайт www.microsoft.com

Помнится когда-то некие крутые парни продавали фильтр для очистки марсианской воды. Вот только марсианской воды тестировщики не смогли достать, поэтому так никому и не известно исправен ли фильтр или не исправен. Но если Вы обеспечите нас марсианской водой -- мы конечно же проведём все необходимые эксперименты!

Почему само устройство не может корректно обрабатывать mss/mtu?

Или мне надо свой собственный сервер иметь чтобы он этим занимался?

Почему так происходит описано в документе.

Вдруг пригодится - по поводу MTU:

К сожалению, проблема фрагментации не так проста. Ведь есть еще и условия работы протокола TCP/IP. Если в какой-то точке пакет "не пролезает", но может фрагментироватся - это еще никак ни гарантия того, что все фрагменты нормально и вовремя доберутся - после чего пакет будет собран.

Нормальное решение - это уменьшить пакет до такого размера, чтобы он через все туннели пролезал без фрагментации. В статье DLink все написано правильно и понятно. "Само по себе" конфигурится не получится.

XP http://support.microsoft.com/kb/314496/
и еще http://support.microsoft.com/kb/159211/

Если манипуляции с реестром не помогли, я бы рекомендовал воспользоваться твикерами XP. Например - MTUSpeed, EasyMTU и прочая - некоторые даже работают, я сам не проверял

Когда у меня возникла подобная проблема с W98, то все статьи пришлось выкинуть - корректно вносил параметы в реестр только первый попавшийся твикер (по моему - iSpeed). И там был не один параметр - я отследил по regmon.

Проверка максимального пакета:
Ping <computer name or IP address> -f -l 1472

Где:
-f -не фрагментировать
-l -длина
1472 это MTU-28
В данном случае - для MTU - 1500