Есть такая проблема:
пакеты идут через lan(dfl800)–DMZ(dfl800)-vpn(pix-pix)LAN
В логе DFL800:
2007-06-19 10:19:23 Notice DROP LogStateViolations TCP lan 192.168.8.235/192.168.1.2 2987

Bad logmsg: [2007-06-19 10:19:23] <5>FW: DROP: rule=LogStateViolations event=unexpected_tcp_flags flags="SYN" endpoint=originator state=TCP_OPEN connipproto=TCP connrecvif=lan connsrcip=192.168.8.235 connsrcport=2987 conndestif=dmz conndestip=192.168.1.2 conndestpo

Сервер(192.168.1.2) говорит, что входящие пакеты протокола NCP фрагментируются на маршрутизаторе. В обратном направлении проблем нет!
Как починить?
Хэлп ми плиз!!

А кто занимается инкапсуляцией NCP в IP?
Кто-то это делает неправильно и поверх существующей сессии устанавливает новое соединение с флагом SYN, отсюда и такое сообщение. Это никак не лечится, нельзя в TCP.OPEN сессии слать пакеты с флагом SYN

Инкапсуляцией занимается клиентская программа.

Получается такая вещь …
Файлы маленького размера (напр. 1115б) пролетают на ура.
Но когда файл большой и нуждается в фрагментации происходит затык.
Пробовал пересылать файлы после последовательной замены VPNа на цисках и
DFL на обычный маршрутизатор – все работает, а вот циски одновременно с DFL хрен.
Можно ли сделать так, чтоб DFL не проверял флаги TCP при прохождении пакета в определенном направлении, а тупо работал как обычный маршрутизатор?
Может ли помочь если сделать VPN c циской и DFL800?

Мне не понятно.
Вы говорите о проблемах фрагментации но в логах есть сообщения о неправильности последовательности сессии.
Наблюдение за последовательностью можно отключить, используйте для этого правило FwdFast(если у Вас до этого стоял ALLOW)
С фрагметнацией -- это глюк Вашего софта, он нехочит адаптировать свой MSS, устройство перед отправлением SYN делает MssClamping и вставляет свой MSS

Я заменил правило ALLOW на FwdFast, как вы подсказали.
Результат такой:
DFL больше ни чего в логах о данных пакетах не фиксирует
Сервер ругается также на IP фрагментацию маршрутизатора!

умньшайте MTU на клиенте, чтобы небыло фрагментаций.