Настроил ipsec поверх pppoe. С одной стороны туннеля cisco1841, с другой di-804hv. Поднимаю на хосте за д-линком фтп и начинаю тестить в обе стороны скорость. Все работает, ошибок на интерфейсе циски не видно. С самого хоста за д-линком не могу закачать что-либо по фтп, SMB etc с хостов, которые за циской(другая стороны туннеля). Подозреваю, что проблема в mtu, с которым пробовал играться(на хосте за д-линком, windows) в д-линке.
На циске:
sh cry ip sa
[skip]
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
[skip]
В какую сторону посоветуете смотреть дальше?


Заранее спасибо!

overhead есть?

Встречный вопрос: в каком месте?

sh cry ip sa

sh cry ip sa det
[skip]
PERMIT, flags={origin_is_acl,}
#pkts encaps: 94305, #pkts encrypt: 94305, #pkts digest: 94305
#pkts decaps: 109661, #pkts decrypt: 109661, #pkts verify: 109661
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#pkts no sa (send) 41, #pkts invalid sa (rcv) 0
#pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
#pkts invalid prot (recv) 0, #pkts verify failed: 0
#pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
#pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
##pkts replay failed (rcv): 0
#pkts internal err (send): 0, #pkts internal err (recv) 0

local crypto endpt.: A.A.A.A, remote crypto endpt.: B.B.B.B
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x4B000010(1258291216)

inbound esp sas:
spi: 0x1B8189A6(461474214)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 3001, flow_id: FPGA:1, crypto map: DI-804HV
sa timing: remaining key lifetime (k/sec): (4425570/28720)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x4B000010(1258291216)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 3002, flow_id: FPGA:2, crypto map: DI-804HV
sa timing: remaining key lifetime (k/sec): (4425569/28720)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(8), RELEASE SOFTWARE (fc1)

Есть идеи?

Можно попробывать поставить ip mtu=1400

есть такая же проблема, можно присоседиться к обсуждению ?
тунель ipsec между cisco 831 и di804hv. проблема: отваливаются соединения по http, ftp, etc. ping ходит. разбор полетов привел к выяснению, что пакеты длинной 3965 и менее проходят, а более нет.
ставил на di804hv MTU=1400 и 1500 результат одинаковый.
завтра буду ковырять mtu подробнее.

Попробуй на циске поставить на интерфейсе ipsec mtu 1400,
я не пробовал, т.к. мне нужно чтобы на другой стороне туннеля(циска) было mtu 1500 жестко.
У себя немного переделал схему:
перед д-линком поставил 2 зюхеля shdsl, на CPE поднимается PPPoE, на д-линке - ipsec, между di-804hv и зюхлем(CPE) поцепил сетку, на wan d-link'а mtu 1500. На циске ничего не менял. Поменял на хосте за д-линком mtu=1400 у меня ftp, samba заработала.

Сделал совсем уже просто:
на wan d-link'а поцепил /30(второй на промежуточном устройстве(с3550) с mtu 1500 на интерфейсе). Тунель поднимается, на хосте за д-линком вернул mtu 1500, на самом д-линке поставил mtu 1500. Интерфейс на втором конец туннеля у циски(1841) с mtu 1500, а большие пакеты все равно не пролазят.
Че делать?
Очередная неприятность в продукте d-link'а (теперь модель di-804hv)?
Я полагаю, что он никак не реагирует на mtu 1500 на закладке Home -> WAN -> MTU Или же я ошибаюсь где-то? По всему пути уже сделал mtu 1500 и все-равно не работает нужным образом IPSec.
Если на di-804hv стоит какой-то "зарезанный *nix", то хотелось бы на него телнетом зайти и посмотреть, при случае поменять. Это возможно?

Спасибо!

не помогает.
пингуем внутренний интерфейс CISCO через туннель IPsec со стороныв d-link. пакеты с длинной 3965 и менее проходят. 3966 уже не идет.

пингуем внутренний интерфейс DI-804 через туннель IPsec. пакеты с длинной 1427 и менее проходят. 1428 уже не идет.

пингование внутреннего интерфейса позволяет не задействовать хосты и локлизовать решение на уровне роутеров.
все настройки mtu по умолчанию, т.е. 1500

поставил на cisco интерфейсе ipsec mtu 1400. теперь перестали проходить пакеты длинной 1428-100= 1328 и более.
присоветуйте куда смотреть ?

Люди, а объясните, откуда "вылезают" такие значения, 3965? Я без шуток, у самого как-то было похожее очень кривое верхнее значение пакета...

Путем долгих чтений рассылок и проб проблема решилась(пока что, потом посмотрим еще...):
на di-804hv(mtu 1492) поднимается PPPoE и поверх него IPSec/VPN к циске 1841(mtu 1500). За циской в сетке есть моя тачка на FreeBSD6.0(mtu 1500) с proftpd. Ядро ранее было собрано с ipfw+dummynet, но без PF+ALTQ. Пересобрал ядро на фре с поддержкой PF'а. В /etc/pf.conf всунул
####> Scrubbing
scrub in all no-df
scrub out all no-df

и у меня все забегало без проблем с mtu. Хост за д-линком с mtu 1500.
В этой же сетке за циской есть еще пара тазиков с поднятыми ftp-серверами. На них можно зайти но скачать/закачать ничего не возможно. Тут уже вылазит "боком" проблема с mtu. openbsd'шный PF решает проблему таким образом(имеется ввиду scrub). В IOS это тоже решаемо путем обновление софта. На cisco.com наступили, видимо, ранее на эти грабли, обошли их и молча сидели. Или же поставить на крайняк роутер на Free/Open-BSD между д-линком и циской. Тоже должно заработать. Не проверял еще.

Подробнее о scrub тут:
http://www.openbsd.org/faq/pf/scrub.html