День добрый.
Имеется следующее:
MSSQL сервер в некоей локальной сети.
Выход из той сети в интернет - через некий VPN-девайс. К примеру dfl-200, dfl-210.
Есть вторая сеть. Выход в интернет из нее - скажем через di-804HV. Или через dfl-210,200. Или через IPCOP, - не суть.
В первой сети расположена база данных.
Во второй - приложение, работающее с этой базой данных. Запросы - небольшие по объему возвращаемых данных, но идут эти запросы часто и в большом количестве.
_______________
Вопрос - как оптимизировать параметры туннеля для обеспечения максимальной производительности такой конструкции?
_______________
Более сложный вопрос - несколько клиентов одновременно к одному SQL серверу.
_______________
вводная - больше эти интернет-подключения (с обоих концов) ни для каких надобностей не используются.
_______________
пока все это работает достаточно унизительно...

Возможно использование Agressive mode, который не будет шифровать некоторые параметры, использовать меньший размер группы для группы DH. Согласно замерам v932 самым производительным алгоритмом является DES, следовательно можно попробывать использовать его для шфрования. Можно поигратся с MTU, чтобы пакет полностью входил в ESP.
насчёт sql сервера -- разве он однопользовательский?

С точки зрения VPN - однопользовательский. Т.е. у каждого пользователя свой личный VPN до сервера. И физически - у каждого пользователя свой персональный канал в интернет. Да и территориально - каждая машина-клиент - в своем географическом месте.
Про MTU я в курсе. Его можно менять как со стороны VPN, так и настройками SQL сервера, кстати. Так что обеспечить "укладываемость" можно разными способами. Если канал плохой, то еще к этому добавляются попытки поиграть с max_tcp_retry.
Про DES понятно, оно ожидаемо за счет более короткого ключа.
Про агрессивный режим - тоже ясно.
Кстати - в случае обрыва туннеля - при каких настройках будет минимально время восстановления?
__________
Вопрос был о том, что есть предмет для лабораторной работы и, возможно, кто-то ее уже проводил и знает результат.

В чем проблемма географической разнесенности пользователей?
Создаётся peer net-host, и всё. Насчёт того, что тунель однопользовательский это заблуждение, есть варианты объединения сетей, есть Варианты подключения пользователей к сети. Или я неправильно Вас понял насчёт однопользовательности?
А при восстановлении канала разница в секунды.
Если в всё знаете, почему ещё не попробывали? =) Нам бы было интересно узнать о результатах

в том, что качество каналов разное. То, что работает на канале Москва - Питер, не будет работать на канале Москва - Гадюкино Хрюпинского уезда Вятской губернии.

Да, это я глупость сморозил. Про road varrior я в курсе, не рассматривается. Все соединения сеть-сеть.
Однопользовательность - в смысле только один человек одновременно из удаленной сетки лезет через VPN туннель в базу данных или устанавливает RDP соединение - остальные - просто пользуются интернетом - серфинг-почта-аська и в корпоративную сеть как правило не обращаются.


А зачем изобретать велосипед?
Если есть готовое удовлетворительное решение - неразумно изобретать еще одно.

Я бы попробовал применить OpenVPN - у него основной алгоритм BlowFish-128 - во сколько раз это быстрее DES - уж в ~5~8, а то и в десять.

Кроме того - легче админить и менее капризный.

Я не SQL гоняю, просто в свою сеть подключаюсь - весьма доволен.

-- смысл всей затеи в том, чтобы выкинуть отовсюду bsd сервера - в конторе нет и не планируется юникс-админов.
А так - IPCOP вполне справляется с поставленной задачей.

У меня OpenVPN едет на winXP-SP2.

мысль разумная. Я как-то упустил момент появления win32 варианта.
Будем запопробовать...

OpenVPN рулит!

Даже на самом чахлом компутере он заткнёт за пояс любую, даже самую дорогую ДЛиновскую коробку.

Если будут вопросы: ICQ == 200267060

Удачи!