Доброго времени стуок.

Есть сабжевая железка. Прошивка 1.42
Взяли на тестирование - пока масса вопросов:
1) ВПН тунели:
Поднимаем через чужую сеть между дликом и OpenSwan сервером.
Поднимаються не всегда. иногда только после обращения из внутренней сети, а иногда и сами поднимаються. Закономерности пока выявить не удалось. Можно ли заставить 804 быть инициатором поднятия тунеля? Желательно в автоматическом режиме.
2) Размер пакетов.
MTU=1500 из локальной сети интерфес смотрящий в эту сеть пингуеться нормально, вплоть до пингов 32к, а внешний интерфейс из локалки, и с наружи пингами больше 4к уже не пингуетсья...
А через ВПН тунель не проходят пинги свыше 3к.
3) Можно ли веб интерфейс длинка повесить на ван интерфейс?
Потому как управляеться через ВПН с трудом. После перезагрузки девайса можно зайти. А через некоторое время кроме авторизации добиться ответа не получаеться... редирект странички начинаеться, а дальше пакеты не приходят.
4) Можно-ли перегрузить делинк командой?
Через телнет или запрос браузера?
5) ))) Есть ли в вашем модельном ряде железки а) поддерживающие ВПН, файерволл, свич на 2-4 порта?
б) тоже самое но +адсл/сшдсл модем

Заранее спасибо.

1. Туннель поднимается по запросу. То есть только при наличии трафика.
2. А где вы такие пакеты берете? То есть -- нужно ли это реально чтоб настолько здоровые пакеты проходили? МТУ -- 1500, пакет 3к -- два раза по МТУ, без дополнительных усилий ни один IP-стек такого делать не будет.
3. Да. Это называется remote administration
4. Нет.
5. а) да, это DFL-200
б) все-в-одном -- DSL-G804V

_________________
С уважением -- Александр Шебаронин.

1) По запросу снаружи он может подниматься?

2) Проблема в том что радмин на железку за впном не ходит.
Точнее ходит но а) экран не отображает б) файлы копировать с него можно только в несколько сот байт.

Веб интерфейс длинка не работает... Авотризация проходит, редирект начинаеться и больше пакетов с его стороны я не вижу...
После рестарта железки(без компа за ней) временно интерфейс работает(с глюками типа вываливания в re-auth выкидывания при рефреше на главную страницу етц...)

3) Насколько помню(из-за описаных выше проблем посмотреть не могу) там можно прописать один ip. Подсеть/список хостов нельзя?

4) а на кнопку какое действие повешено?
я в запросе броузера его съэмулировать не смогу?

5) Спасибо.

У железки походу проблема с разбиением пакетов.
Если с внутреннего интерфейса приходит пакет с относительно высоким мту, то после кодирования фреймы получаються больше 1500 байт. Если на машине за впн-ом уменшить мту - то пакеты начинают ходить нормально...

В целом мысль в правильном направлении, однако:
1. MTU это не параметр пакета, это параметр интерфейса (есть ещё MTU на маршруте, но это уже второй слой сумрака ) - это максимально допустимый размер на данном интерфейсе. Если стеку IP необходимо отправить пакет, размер которого превышает MTU данного интерфейса, он вынужден его фрагментировать и отправлять фрагментами. С фрагментацией бывают проблемы, принимающий хост может иметь свои настройки для фрагменированных пакетов вплоть до запрета. Кроме того, в пакете может быть установлен флаг DF - запрет фрагментации. Нюансы фрагментации можно проверять используя "ping -f ..."
2. Кроме того, уменьшение MTU на хостах, связь между которыми проходит через VPN-туннели, ИМХО, может быть более эффективна, если на них уменьшить MTU (в самом неблагоприятном случае может быть ситуация, когда каждый пакет о хоста к хосту обрабатывается SPD на роутере и не влезает в один IP-пакет, а уходит одним "большим", например , 1500 байт и "довеском" 100 байт, который хоть и маленький, а всё равно пакет. А вот если уменьшить MTU на хостах, то есть шанс, что после шифрования и т.п. пакеты будут влезать в 1500 байт.)

Это не мысли - это опыт)
1. у данного длинка это параметр железки а не интерфейса (точнее на ван интерфейсе он выставляеться, а так нет...)
2) так и сделал МТУ уменшил на хосте за длинком.
подбирал как раз ping -f

"Атлична, Григорий! Нормально, Константин!"
Значит этим "тайным знанием" мы владеем уже как минимум вдвоём