Есть VPN IPSec канал между DI-804HV и DFL-200. Со стороны DI-804 пингую другую подсеть канал поднимается где-то с 10-15 пинга, с обратной стороны все быстро поднимается. Причем такое ощущение, что он еще и быстро падает (быстрее чем Life Time)

В чем может быть дело? Причем раньше по-моему было все нормально...

Дело еще в том, что провайдер на одной стороне использует ADSL по средствам D-LINK DSL-500T - эти проблемы начались после замены этого устройства.

Что может быть в настройках DSL-500, такого, что вызывает такую реакцию???
(настройки и логи модема я увидеть не могу, я с ними долго ругался что бы они отключили файрволл, который тоже не давал установить VPN)

Возможные решения
1. Уменьшение MTU
2. Использование IKE KeppAlive+AutoReconnect/

С keepalive действительно стало лучше. Autoreconnect нету прошивка 1.41...

В каких случаях можно (нужно) использовать agressive mode, на обоих сторонах или только на одной?

Где можно посмотреть описание прошивки 1.35 для DFL-200?
И можно ли обновить прошивку и залить старые настройки (через сохранение и восстановление)?

Агрессив моде применяется на двух устройствах, при этом режиме сессия устанавливается за меньшее колличество этапов
1.35 это pre-release, описание есть только для 1.34, для 1.35 пока нет.

То есть в моем случае (LAN to LAN реальные статические IP на каждой стороне) agressive mode целесообразно использовать??

Не целесообразно использовать.

А чем keepalive отличается от autoreconnect?

Обновил прошивку до 1.43
Поставил keepalive на обоих сторонах (на DFL-200 и на DI-804) и autoreconnect на стороне DI-804 - после дня работы первый раз повис DFL-200... стал разбираться возможно из-за нехватки памяти... по крайней мере в Listing of active IKE SAs - all tunnels было около 17 записей на каждый тонель - раньше они были в единственном числе. (у меня 3 канала один DFL-200 и 3 DI-804HV)

Отключил keepalive и autoreconnect везде - экспериментирую дальше, по прежнему канал очень долго поднимается....

Нашел в форуме предложение использовать PFS - что это?

Алексей, я прекрасно понимаю Ваше желание узнать всё для оптимизации соединения. Но не могли бы Вы для начала почитать обычный хелп на устройстве?
Reconnenect говорит сам за себя\
keep-alive крайне необходимая функция -- обеспечивает удаление SA, при недоступности канала, актуальна только при использовании с 2-х сторон. PFS-PerfectPacketSecurity группа DiffiHellman'а для обмена ключами по незащищённым каналам.